三菱UFJニコスは2014年4月18日、同社Webサービスから894人分の個人情報が流出した恐れがあることを明らかにした。OpenSSLの「Heartbleed(心臓出血)」脆弱性が悪用されたことを特定したという。特定した方法については、「セキュリティの都合上、コメントできない」(同社広報部)としている。
三菱UFJニコスでは、同社Webサービスに対して不正アクセスが行われたとして、4月11日14時30分から4月12日7時48分まで、会員専用のWebサービスを停止していた。今回、その原因や影響範囲について明らかにした。
それによると、今回の不正アクセスによって、同社発行のクレジットカード会員の情報894人分が第三者に閲覧された恐れがあるという。閲覧された恐れのある情報は、カード番号、氏名、生年月日、住所、電話番号など。
ただし、カード番号は一部がマスクされているので、悪用される可能性は極めて低いだろうとしている。また、カードの暗証番号やWebサービスのログインパスワードについては、閲覧された可能性はないという。
同社では、4月11日6時33分に不正アクセスを検知。直ちに調査したところ、OpenSSLの「心臓出血」脆弱性を狙った不正アクセスであることが特定できたという。この脆弱性は、OpenSSLが備える「heartbeat」機能に存在する。OpenSSLを利用しているサーバーに対して、細工を施したデータを送信されるだけで、サーバーのメモリー上にある情報を盗み出される恐れがある(関連記事:OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ)。
今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。
また、セキュリティベンダーなどの情報によると、「心臓出血」脆弱性を悪用されると、Webサーバーの秘密鍵の盗まれる恐れもあるという(画面)。そこで、今回の不正アクセスにおいて、サーバーの秘密鍵を閲覧された恐れがあるかどうか尋ねたが、これについても、セキュリティの都合上、コメントできないとしている。
