「OpenSSL」に情報漏洩につながる脆弱性が見つかる

インターネット上の買い物サイトやクレジットカード決済などに使われている暗号化プログラムとして広く使われている「OpenSSL」(オープン・エス・エス・エル)」に重大な欠陥が見つかったことがあきらかになりました。OpenSSLはネット上で通信の安全性を確保するため広く使われており、最悪の場合、一般利用者の個人情報が流出する恐れがあります。

ネット上の取引はクレジットカード番号やパスワードなど個人情報を含む場合、安全性を高めるため情報を暗号化する必要があります。OpenSSLは暗号化の核となる技術で、ネット通販サイトなどで標準的に使われています。

欠陥は「Heartbleed(血を吹く心臓)」と呼ばれています。今月7日、修正版が出ていますが、この欠陥は2年前に配布されたOpenSSLに存在しており、2年間も見逃されていたことが大問題となっています。

情報セキュリティー大手・トレンドマイクロが10日、国内1万7852サイトを調査したところ、約3%の計534サイトが問題のOpenSSLを利用していたことがわかりました。

一方、Googleは主要サービスで修正したほか、楽天市場や楽天銀行などを運営する楽天は「今回の欠陥の影響はない」としています。

警察庁は10日、この欠陥を狙ったとみられるサイトへのアクセスが増えていると注意喚起しました。大手のネットセキュリティー会社によると、これまで具体的な被害は把握されていませんが、「これまでの中で最も重大な欠陥だ」と指摘しています。

ウェブサイトでOpenSSLを利用している場合、秘密鍵が既に漏えいしている可能性があります。ウェブサイト運営者は脆弱性の解消後、これまで利用していた証明書を失効させ、新しい秘密鍵を用いて証明書を再取得・再設定してください。証明書の失効・再発行等の手続きは、各認証局へ確認ください。

■ OpenSSL の脆弱性対策について
https://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

■ 警察庁セキュリティポータルサイト@police
http://www.npa.go.jp/cyberpolice/index.html