Home > フルフィルメント > 「暗号化通信」にぜい弱性 通販サイトに影響も

「暗号化通信」にぜい弱性 通販サイトに影響も

 ウェブサイトで用いられる、通信を暗号化するシステムに重大なぜい弱性が存在することが分かった。暗号化通信を解くための「秘密鍵」やウェブサイトの設定情報のほか、利用者の住所氏名・クレジットカード情報などが盗み見される恐れがあるというもの。通販サイトにも影響を及ぼす恐れがある。

 ウェブサイトで通信を暗号化して送受信する際には「SSL」と呼ばれる通信手段を用いる。ぜい弱性が判明したのは、SSLをサイトに実装する際に使う無料のSSLライブラリーである「OpenSSL」のバージョン1・0・1~1・0・1fと、1・0・2―beta~―beta1。「Apache」「nginx」など、OpenSSLは無料のサーバーソフトが使用しており、インターネット全体での利用率は高いとみられる。

 OpenSSLが一昨年に実装した「ハートビート」と呼ばれる拡張機能に問題が判明した。攻撃者は、該当するバージョンのOpenSSLを利用しているプログラム内のメモリー情報を抜き取ることができる。具体的には、「秘密鍵」やウェブサイトの設定情報、利用者から情報が送信される場合は、IDやパスワード、住所氏名・クレジットカード情報などが盗まれる可能性がある。

 一度に抜き取れる情報は最大で64キロバイトと少ないため、直ちにすべての情報が盗み取られるというわけではない。ただ、このぜい弱性の問題は、サーバー管理者が攻撃されたことに気付かないこと。つまり、攻撃者は欲しい情報を手に入れるまで、何度でも攻撃を繰り返すことが可能となる。

 OpenSSLを利用している通販企業は、該当するバージョンかどうかを確認する必要がある。もし当てはまる場合は、欠陥のないバージョンへの更新や電子証明書の失効・新証明書発行が急務。さらには、今回のぜい弱性は約2年前から存在したことから、セキュリティー会社・ラックの西本逸郎取締役CTOは「流出の可能性のあった情報の考察をし、流出可能性データが多岐にわたる場合は、再発防止を考慮してシステム再構築を考えなければならない」と話す。

 ユーザーへの告知としては、サイトに影響があるのか無いのかを公表するだけでも、消費者に安心感を与えることになる。もし影響がある場合は、どんな情報が流出した可能性があるかをきちんと知らせる必要がある。

 独立行政法人情報処理推進機構は4月11日、「ぜい弱性を悪用できる攻撃コードを用いたと思われる通信が観測されているとの情報がある」と警告。どの程度の通販サイトが、該当するバージョンのOpenSSLを利用していたかは不明だが、ネット販売の根幹に関わる問題だけに、早急な確認と対応が求められる。

Trackbacks:0

TrackBack URL for this entry
http://www.tsuhanshinbun.com/mtos-admin/mt-tb.cgi/2499
Listed below are links to weblogs that reference
「暗号化通信」にぜい弱性 通販サイトに影響も from 通販新聞

Home > フルフィルメント > 「暗号化通信」にぜい弱性 通販サイトに影響も

Amazon出品サービス
Search
Feeds

△ ページtopへ