ウェブサイトで用いられる、通信を暗号化するシステムに重大なぜい弱性が存在することが分かった。暗号化通信を解くための「秘密鍵」やウェブサイトの設定情報のほか、利用者の住所氏名・クレジットカード情報などが盗み見される恐れがあるというもの。通販サイトにも影響を及ぼす恐れがある。

　ウェブサイトで通信を暗号化して送受信する際には「ＳＳＬ」と呼ばれる通信手段を用いる。ぜい弱性が判明したのは、ＳＳＬをサイトに実装する際に使う無料のＳＳＬライブラリーである「ＯｐｅｎＳＳＬ」のバージョン１・０・１～１・０・１ｆと、１・０・２―ｂｅｔａ～―ｂｅｔａ１。「Ａｐａｃｈｅ」「ｎｇｉｎｘ」など、ＯｐｅｎＳＳＬは無料のサーバーソフトが使用しており、インターネット全体での利用率は高いとみられる。

　ＯｐｅｎＳＳＬが一昨年に実装した「ハートビート」と呼ばれる拡張機能に問題が判明した。攻撃者は、該当するバージョンのＯｐｅｎＳＳＬを利用しているプログラム内のメモリー情報を抜き取ることができる。具体的には、「秘密鍵」やウェブサイトの設定情報、利用者から情報が送信される場合は、ＩＤやパスワード、住所氏名・クレジットカード情報などが盗まれる可能性がある。

　一度に抜き取れる情報は最大で６４キロバイトと少ないため、直ちにすべての情報が盗み取られるというわけではない。ただ、このぜい弱性の問題は、サーバー管理者が攻撃されたことに気付かないこと。つまり、攻撃者は欲しい情報を手に入れるまで、何度でも攻撃を繰り返すことが可能となる。

　ＯｐｅｎＳＳＬを利用している通販企業は、該当するバージョンかどうかを確認する必要がある。もし当てはまる場合は、欠陥のないバージョンへの更新や電子証明書の失効・新証明書発行が急務。さらには、今回のぜい弱性は約２年前から存在したことから、セキュリティー会社・ラックの西本逸郎取締役ＣＴＯは「流出の可能性のあった情報の考察をし、流出可能性データが多岐にわたる場合は、再発防止を考慮してシステム再構築を考えなければならない」と話す。

　ユーザーへの告知としては、サイトに影響があるのか無いのかを公表するだけでも、消費者に安心感を与えることになる。もし影響がある場合は、どんな情報が流出した可能性があるかをきちんと知らせる必要がある。

　独立行政法人情報処理推進機構は４月１１日、「ぜい弱性を悪用できる攻撃コードを用いたと思われる通信が観測されているとの情報がある」と警告。どの程度の通販サイトが、該当するバージョンのＯｐｅｎＳＳＬを利用していたかは不明だが、ネット販売の根幹に関わる問題だけに、早急な確認と対応が求められる。