オープンソースの暗号通信ソフト「OpenSSL」の欠陥(「心臓出血(Heartbleed)」と呼ばれる)に関して前回のコラム:「OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ」に書いたが、今回はその後の状況をまとめてみよう。

海外大手サイトには早めの対応もあったが

写真1●4月に発覚した「心臓出血」でいくつもの問題が明らかになった

 この問題を簡単におさらいをすると、まず2014年4月に、安全な通信のために幅広く使用されているOpenSSLが2年前から内包していた欠陥が明らかになった(写真1)。OpenSSLが動作しているサイトのメモリーの一部が、外部からの簡単な攻撃で漏えいするという欠陥である。漏えいするデータは、ほかの利用者との送受信データやセッションなどの管理情報だけではなくOpenSSL自体が使用している秘密鍵などの可能性があると指摘されている。

 この事実が明らかになってから、海外の大手サイトではパスワードを再設定するよう利用者に要請を出すなど、早めの対応をするところがあった。一方、日本では前回の記事を公開した4月16日当時は、この問題はあまり重く受け止められているようには見えなかった。ところがその後、日本でいくつかの被害報道があり、実際に問題が発生していることが分かってきた。

 三菱UFJニコスは2014年4月18日に、894人分の個人情報が流出した恐れがあると発表した(写真2、関連記事:国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か)。恐らくは、日本で初めての「心臓出血」の悪用による被害報告ではないかと推測する。

写真2●三菱UFJニコスが公開した、不正アクセスに対する状況説明の情報