データを暗号化して通信するためのソフトウエア。Webサイトなどで広く利用されている。サーバーのメモリー上に記録されたデータが盗み取られてしまう可能性のある脆弱性が発見された。
インターネット上で安全な通信を実現するソフトウエア「OpenSSL」に深刻な脆弱性が見つかりました。OpenSSLはWebサーバーやVPN(仮想プライベートネットワーク)サーバーなどで使われています。同様なソフトウエアは他にもありますが、OpenSSLは無償で利用できるオープンソースソフトウエアということもあって、最も普及しているとみられています。
OpenSSLを使うと「SSL」や「TLS」と呼ぶ暗号化通信の手順に沿って、データを送受信できるようになります。暗号化することで、万が一、データが通信経路で傍受されても問題ないようにしているのですが、そこに欠陥があったので騒ぎが広がっています。
問題:三菱UFJニコスで問題発覚
今回発見された脆弱性は、メモリー上に記録されたデータを盗み取られるものでした。会員制WebサイトでOpenSSLを利用しているケースを想定し、今回の脆弱性がもたらす危険性を見てみましょう。会員制Webサイトの利用者は、ログイン画面でIDとパスワードを入力します。入力されたIDとパスワードは、パソコン上で暗号化されてからWebサーバーへと送信されます。
Webサーバーは、暗号化されたIDとパスワードを元のデータに戻してから、ユーザー認証を実行します。元に戻す処理はメモリー上で実行されるため、暗号化されていないIDとパスワードがWebサーバーのメモリー上に記録されます。このIDとパスワードが、脆弱性によって盗み取られる可能性があるのです。
メモリー上には他にも様々なデータが記録されています。三菱UFJニコスは2014年4月18日、今回発見されたOpenSSLの脆弱性によって894件の会員情報が漏えいした可能性があることを発表しました。
