チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「OpenSSLって、ほぼ全部のサーバで使ってるやつでしゅよね?それに穴があったら、どこから手をつければいいんでしゅか……」
「しかも今回はAIが見つけたって聞いて、攻撃も防御もAI任せになっていくのか不安なんでしゅ」
チップス暗号の土台みたいなライブラリでしゅよね。そこが壊れたら、もう打つ手なしじゃないでしゅか……。
ボス落ち着け、チップス。今回はメール署名の検証まわりに限った穴だ。仕組みと対象を押さえれば、慌てず塞げるぞ。ふふふ。
本記事では、OpenSSLが修正した高危険度の脆弱性CVE-2026-45447について、何が危ないのか、そしてAIが発見に関わった意味を整理します。
読み終える頃には、影響範囲の見極め方と、AIが脆弱性発見に入ってくる時代の向き合い方が手に入ります。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
まずは何が修正され、どこまで影響するのかを整理します。
問題は、PKCS#7やS/MIME形式の署名付きメッセージを検証する関数PKCS7_verifyにあります。
特定の細工をしたメッセージを処理させると、呼び出し側が管理しているメモリ領域を誤って解放し、その後に参照してしまう解放後メモリ参照(use-after-free)が起きます。
結果としてアプリケーションのクラッシュやメモリ破壊につながり、条件次第では遠隔コード実行に至る恐れもあります。
OpenSSLはこの脆弱性を高危険度(High)と評価し、実環境での悪用は現時点で確認されていません。
影響範囲のポイントは以下のとおりです。
| 項目 | 内容 |
|---|---|
| 対象バージョン | 1.0.2/1.1.1/3.0/3.4/3.5/3.6/4.0系 |
| 修正版 | 4.0.1/3.6.3/3.5.7/3.4.6/3.0.21 ほか |
| 影響を受ける処理 | PKCS#7 APIで署名メッセージを検証する場合 |
| 影響を受けない処理 | CMS APIを使う実装は対象外 |
チップス署名を確かめるだけの処理が、逆に攻撃の入り口になるんでしゅか……。
ボスそうだ。受け取った署名を検証する側が標的になる。だが古いPKCS#7 APIを使う実装に限られるから、自社がどちらを使っているかを見極めるのが先決だな。
なぜ今回の発見がAI時代の節目として語られるのかを掘り下げます。
今回の脆弱性は、AnthropicのAI「Claude」と研究者の協働で見つかった点が注目されました。
OpenSSLが同時に公開した複数の不具合のうち、相当数でAnthropicの研究者が発見者やクレジット対象になっています。
長年枯れたとされてきた暗号ライブラリの深部から、AIが人の見落としを拾い上げた形です。
守る側がAIを使えるなら、攻める側も同じ武器を手にすると考え、パッチ適用の速さで先手を取る姿勢が欠かせません。
現場で取るべき対応は次のとおりです。
チップスAIが見つけてくれるなら心強いでしゅ!でも、その分こっちも早く直さないといけないんでしゅね。
ボスそのとおりだ。発見が速くなれば、悪用までの猶予も短くなる。バージョン管理を日頃から整えておく者が生き残るのだ。
CVE-2026-45447は、OpenSSLのPKCS#7署名検証に潜んだ高危険度の解放後メモリ参照で、条件次第では遠隔コード実行につながります。
実環境での悪用は未確認ですが、AIの助けで発見が速まる今は、攻撃者が動く前に塞げるかどうかが分かれ目です。
まずは自社で使うOpenSSLのバージョンを把握し、修正版への更新を着実に進めてください。
こうした脆弱性管理やインシデント対応の最前線で力を試したい方は、ぜひセキュリティフリーランス案件に目を向けてみてください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
