web
「OpenSSL」に深刻なバグ、パスワードやクレジットカード番号などが丸見え

ウエブ上のセキュリティを確保する暗号ソフトに深刻なバグ(欠陥)が見つかり、大手IT企業や金融機関など世界中の企業が対応に追われている。

●"Experts Find a Door Ajar in an Internet Security Method Thought Safe" The New York Times, APRIL 8, 2014

バグが見つかったのは「OpenSSL」と呼ばれる暗号ソフトで、これが公になったのは日本時間の今月8日(火曜日)だ。

現在、世界のウエブ・サイトの7割近くが、自らのセキュリティを確保するために、このソフトを採用していると見られる。今回のバグは「Heartbleed Bug」と呼ばれ、既に広く普及しているOpenSSLの1.0.1と1.02ベータ版上で発見された。

まだバグを修正していないサイトも

もしも悪質なハッカーがこのバグを突いた場合、各種ウエブ・サイトへのログインに使うパスワードやクレジットカード番号などが丸見えになる恐れがあるという。Google、Facebook、Yahoo、Amazonなど世界的なIT企業は、既にこのバグを修正したが、まだ対応できていない企業も多数あると見られている。

日本でも銀行や証券会社などのオンライン取引では、ほぼ間違いなく「SSL(Secure Sockets Layer)」が採用されている。ただしSSLのような暗号技術は独自開発すると莫大な予算がかかるので、多くのウエブ・サイトでは無料のオープン・ソフトであるOpenSSLを採用している。日本でも、かなりのサイトがこれを使っていると見ていいだろう。

冒頭のニューヨーク・タイムズ記事によれば、今回のバグは約2年間放置されていたため、一部のハッカーはこれを既に知っている公算が高いという。また8日にバグが公にされて以来、このバグを突いて情報を盗む方法なども、どこかのサイトに公開されているという。いずれにせよ、このバグを突いてパスワードやクレジットカード番号を盗まれたユーザーが既にいるかもしれない。

この続きは、プレミアム会員になるとご覧いただけます。
現代ビジネスプレミアム会員になれば、
過去の記事がすべて読み放題!
無料1ヶ月お試しキャンペーン実施中
すでに会員の方はこちら