「OpenSSL」の脆弱性問題、EC関連企業への影響は?
2014/4/14 12:49 
オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」のバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる極めて深刻な脆弱性が見つかった問題で、通販・EC企業、ECシステム提供企業が状況の説明を始めている。
通販・EC大手のディノス・セシールは、運営する通販サイト「セシールオンラインショップ」「イマージュネット」「ディノスオンラインショップ」で、「OpenSSL」を使用していない旨を告知。大手新聞やテレビなどの報道もあり、消費者に対してサイトの安心・安全性を訴えている。
ショッピングカート「FutureShop2」を提供するフューチャーショップは4月11日、異なるバージョンを利用していると説明し、安全性を告知。ショッピングカート「MakeShop」を販売するGMOメイクショップは、「OpenSSL」の脆弱性に関するアップデートが4月9日に完了したと説明。「アップデート対応前に攻撃を受け、SSL証明書の鍵を盗まれていた場合に備え、新しい鍵でSSL証明書を作成し入れ替えている」としている。
「OpenSSL」はサーバー企業、EC企業などECに関わる多くの企業が使っているとされている。一昨年から提供されてきたバージョンに、サイト上でやり取りした情報を外部から閲覧できる重大な欠陥があったことが判明。これは、「Heartbleed」バグと呼ばれており、悪用されれば秘密鍵やパスワードなどの情報が盗まれる恐れがある。
警察庁は4月10日、OpenSSLの脆弱性を標的としたアクセスの増加が確認されたと発表。「OpenSSL」を利用している企業などに対して、アップデートなどの適切な対応を行うよう呼び掛けている。独立行政法人情報処理推進機構(IPA)も「OpenSSL」の脆弱性対策について、対策を実施するよう注意を促している。
情報漏えい対策・調査のネットエージェントは同10日、「OpenSSL」の脆弱性の有無をチェックできるサービス「Heartbleed検査サービス」を無償公開。脆弱性有無の調査実施を勧めている。
