(CNN) オープンソースの暗号化技術「OpenSSL」に発見された「ハートブリード」と呼ばれるオンラインセキュリティーの脆弱(ぜいじゃく)性により、パスワードやクレジットカード情報、メールなどの個人情報が危険にさらされる可能性がある。
ハートブリードは、推定3分の2のウェブサーバーで使用されているOpenSSLに発見された欠陥だ。この技術は、個人・金融情報を集める多くのHTTPSサイトで使用されている。通常、HTTPSサイトにアクセスすると、サイトの安全性を示すためにブラウザー内に鍵のアイコンが表示される。
サイバー犯罪者らは、今回見つかったバグを利用し、サイトを訪問した人の個人情報や同サイトの暗号化キーにアクセスする可能性がある。また盗んだ暗号化キーを使ってそのサイトになりすまし、さらに情報を集めることも可能になる。
このバグは、グーグルの研究者とフィンランドの独立系セキュリティー会社コデノミコンが発見した。研究者らは、このバグに関する一般的な質問に答えるための専用サイトを開設し、さらにバグのカスタムアイコンまで作った。
ハートブリードは、ささいなプログラミングミスにより生じた欠陥だが、被害が広範囲に及び、大半のネットユーザーに影響を及ぼす恐れがある。
研究者らはこの問題を先週発見し、7日に発表したが、バグは2年以上前の2012年3月から存在していたという。そのため、過去2年間にSSL上で行われた通信は悪意ある盗聴のターゲットになった可能性がある。
OpenSSLに脆弱性見つかった
このバグが特に問題なのは、単純な解決策がないことだ。危険にさらされたサイトと、そのサイトを訪れたことがあるユーザーの双方が対策を講じる必要がある。
サイト側は、ユーザーデータや暗号化キーを守るために、OpenSSLの更新や証明書の再発行などが必要だ。
グーグルやフェイスブック、ヤフー、アマゾンなど、多くの主要サイトは、すでに対策を講じたとしている。セキュリティー研究者らは8日朝、このバグを使ってヤフーメールのログイン情報を盗むデモを行ったが、ヤフーはその後、提供する主要サービス全体について対策を講じた。
しかし、これは主要サイトだけの問題ではない。より小規模のオンラインストア・サービスもOpenSSLを利用しており、これらのサイトが必要な対策を講じるには、より長い時間を要する可能性がある。また通常、各ウェブサイトはOpenSSLを利用しているか否かは公表していないため、消費者側の対応にも困難が予想される。
ユーザーは、利用しているウェブサイトのパスワードを変更すべきだが、変更するのはそのサイトがハートブリードへの対策を講じたことを確認した後だ。
もし、そのサイトがまだ対策を講じていない場合は、パスワードを変更しても、新たなパスワードが盗まれる恐れもある。また今後、多くのサイトが、顧客に対し、必要であればパスワードを変更するよう指示するメールを送るなどの対応を迫られるだろう。
OpenSSLに脆弱性