ＡＤＳＬ - 1036554230 - したらば掲示板

780：とはずがたり：2014/04/13(日) 20:13:15: ＯｐｅｎＳＳＬ：ネットセキュリティー２年間“重大な穴”
http://news.goo.ne.jp/article/mainichi/nation/20140412k0000m040065000c.html
毎日新聞2014年4月11日（金）20:38

　インターネット上の買い物サイトやクレジットカード決済などに使われている暗号通信ソフトウエア「ＯｐｅｎＳＳＬ（オープン・エス・エス・エル）」に重大な欠陥が見つかり、個人情報などを扱う企業や団体のセキュリティー部門が対応に追われている。ＯｐｅｎＳＳＬはネット上で通信の安全性を確保するため広く使われており、最悪の場合、一般利用者の個人情報が流出する恐れがある。

　ネット上の取引はクレジットカード番号やパスワードなど個人情報を含む場合、安全性を高めるため情報を暗号化する必要がある。ＯｐｅｎＳＳＬは暗号化の核となる技術で、ネット通販サイトなどで標準的に使われている。欠陥は２年前に配布されたＯｐｅｎＳＳＬの新機能に見つかり、今月７日、修正版が出た。

　情報セキュリティー大手「トレンドマイクロ社」が１０日、買い物や一般企業サイトなど国内１万７８５２サイトを調査したところ、約３％の計５３４サイトが問題のＯｐｅｎＳＳＬを利用していた。一方、ネット検索大手の米グーグル社は主要サービスで修正したほか、ネット通販「楽天市場」や楽天銀行などを運営する楽天（東京都品川区）は「今回の欠陥の影響はない」としている。

　警察庁は１０日、この欠陥を狙ったとみられるサイトへのアクセスが増えていると注意喚起した。都内のネットセキュリティー大手によると、これまで具体的な被害は把握されていないが、担当者は「これまでの中で最も重大な欠陥だ」と指摘。サーバーには侵入の痕跡が残らないうえ、サーバー内に一つだけある「秘密鍵」が盗まれた場合、サーバー上のあらゆる通信内容を盗み見たり、侵入者は偽サイトに利用者を誘導、情報を集めたりすることが可能になるという。このセキュリティー会社は顧客の半数が問題のＯｐｅｎＳＳＬを使っており、同社は一斉メールで修正を呼びかけた。

　独立行政法人「情報処理推進機構」の永安佑希允（ゆきのぶ）・脆弱（ぜいじゃく）性分析エンジニアも「今回の脆弱性を利用して情報を盗むのはそれほど難しくない。欠陥が２年間見逃されていたので、情報が盗まれた可能性は否定できない」と話している。

　一般利用者の対処法について、トレンドマイクロ社の広報は「利用者は自分が使っているサイトが修正されているか確認すること。既にクレジット番号を見られていたなどの影響は未知数なので、不安なら必要に応じて利用したネット上のサービスのＩＤとパスワードを変更すべきだ」と注意喚起している。【尾村洋介、石戸諭】

　◇ＯｐｅｎＳＳＬ（オープン・エス・エス・エル）

　インターネット上の標準的な暗号通信（ＳＳＬ）で使われている、公開型のソフトウエア。クレジットカードによるネットショッピングや会員制サイトなど個人情報が含まれ、高い安全性が求められるサイトで幅広く使われている。