ウエブ上のセキュリティを確保する暗号ソフトに深刻なバグ(欠陥)が見つかり、大手IT企業や金融機関など世界中の企業が対応に追われている。
●"Experts Find a Door Ajar in an Internet Security Method Thought Safe" The New York Times, APRIL 8, 2014
バグが見つかったのは「OpenSSL」と呼ばれる暗号ソフトで、これが公になったのは日本時間の今月8日(火曜日)だ。
現在、世界のウエブ・サイトの7割近くが、自らのセキュリティを確保するために、このソフトを採用していると見られる。今回のバグは「Heartbleed Bug」と呼ばれ、既に広く普及しているOpenSSLの1.0.1と1.02ベータ版上で発見された。
まだバグを修正していないサイトも
もしも悪質なハッカーがこのバグを突いた場合、各種ウエブ・サイトへのログインに使うパスワードやクレジットカード番号などが丸見えになる恐れがあるという。Google、Facebook、Yahoo、Amazonなど世界的なIT企業は、既にこのバグを修正したが、まだ対応できていない企業も多数あると見られている。
日本でも銀行や証券会社などのオンライン取引では、ほぼ間違いなく「SSL(Secure Sockets Layer)」が採用されている。ただしSSLのような暗号技術は独自開発すると莫大な予算がかかるので、多くのウエブ・サイトでは無料のオープン・ソフトであるOpenSSLを採用している。日本でも、かなりのサイトがこれを使っていると見ていいだろう。
冒頭のニューヨーク・タイムズ記事によれば、今回のバグは約2年間放置されていたため、一部のハッカーはこれを既に知っている公算が高いという。また8日にバグが公にされて以来、このバグを突いて情報を盗む方法なども、どこかのサイトに公開されているという。いずれにせよ、このバグを突いてパスワードやクレジットカード番号を盗まれたユーザーが既にいるかもしれない。
