写真●「HealthCare.gov」のトップページ
パスワードをリセットするように促すメッセージを表示している
[画像のクリックで拡大表示]
米医療保険改革法(通称「オバマケア」)に基づいて国民の保険加入手続きを支援するサイト「HealthCare.gov」は、オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に見つかった重大な脆弱性「Heartbleed」の対策として、現地時間2014年4月19日までに利用者のパスワードをリセットした。
Heartbleedは、通信相手が存在しているかを確認するHeartbeat拡張がOpenSSLに実装された際のバグに起因するもので、攻撃者が細工したパケットを送ることによりメモリー上の情報を閲覧できてしまう危険性がある(関連記事:OpenSSLの「心臓出血」脆弱性、被害報告が相次ぐ)。
HealthCare.govは、「当サイトはユーザー情報を守るための多層保護機能を導入しており、これまでのところ個人情報が危険に曝された形跡はないが、念には念を入れてパスワードのリセットを実施した」と説明。ユーザーは次回アクセスした際に、新たなパスワードを設定しなければならない。
HealthCare.govには当初の目標を超える800万人が登録したと、Barack Obama米大統領が先週発表しており、攻撃者によって膨大な個人情報が狙われる危険性を指摘する声があがっている。米政府は現在、Heartbleedを巡り政府関連サイトの脆弱性について調査している最中で、HealthCare.gov以外にどのサイトを調べているかは明らかにしていないが、近いうちに「WhiteHouse.gov」サイトの請願署名ページなどのユーザーがパスワード変更を求められる可能性があると、米メディア(ABC News)は報じている。
[発表資料へ]
