OpenSSLの脆弱性で初の被害、カナダや英国で発覚

カナダ歳入庁や英MumsnetはOpenSSLの脆弱性が発覚した直後に対応に乗り出したが、既に納税者情報やパスワードなどの情報が流出していた。

» 2014年04月15日 07時18分 公開
[鈴木聖子,ITmedia]

 オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。

 また、育児情報サイトの英Mumsnetもこの問題を悪用され、ユーザーのアカウントに不正アクセスされていたことが分かったと発表した。OpenSSLの脆弱性は極めて広範に影響が及んでいるが、実際の被害が伝えられたのは初めて。

 カナダ歳入庁の場合、4月8日に問題が発覚した時点でオンラインサービスを停止し、OpenSSLの脆弱性を修正。全システムの安全性を点検した上で13日にサービスを再開したが、この過程で納税者情報に対する不正アクセスが発覚したという。

 被害に遭った納税者には手紙で通知して、問い合わせ用のフリーダイヤルを設置するなどの対策を講じた。フィッシング詐欺を防ぐため、メールや電話での連絡は行わないと強調している。

 一方、Mumsnetは10日に脆弱性の存在を知って調査に乗り出し、OpenSSLの脆弱性を修正。しかし、それ以前にユーザーのデータが流出していたことが判明した。11日にはユーザーのアカウントが不正アクセスされていたことも分かった。

 流出したのはユーザーがログインページで入力したメールアドレスやパスワードなどの情報。しかし「どのユーザーが影響を受けたか確認できる手段がなく、最悪の場合、全ユーザーのアカウントが不正アクセスされた可能性もある」(Mumsnet)という。

 このため同サイトは全ユーザーにパスワードを変更するよう求め、4月12日以前に作成したパスワードではログインできないようにした。

OpenSSLの脆弱性が原因で情報が流出したカナダ歳入庁や英Mumsnet(右)

 Mumsnetは今回の事件の教訓として、たとえ今回の脆弱性を修正したとしても、「まだ誰も知らない脆弱性が存在しているかもしれない」と指摘。「インターネットは100%安全だと保障できる人は誰もいない。Webで何かを共有する場合は、それが公開であっても非公開であっても、その情報がハッカーの手に渡った時のことを考えなければいけない」と助言する。

 ユーザー側の対策としては、パスワードを数カ月ごとに変更して使い回しは避け、使わなくなったWebサイトのアカウントは閉鎖することなどを挙げている。

関連キーワード

脆弱性 | OpenSSL | 不正アクセス | 情報流出


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ