OpenSSLの脆弱性の影響は?ECサイトに対策が必要、利用者には悪徳便乗メールに惑わされない!

20140417 OpenSSL

クレジットカードで決済する際にこのサイトはSSLで暗号化されており、「取引にはプライバシーが保たれます。」という表示を見た方は多いと思います。ところが、この暗号化技術に悪さをするスキが見つけられ安全性に必ずしも担保されない発表が次々と報道されるようになりました。

SSLとはSecure Socket Layerの略称です。これに対応したサイトのURLには鍵のアイコンがつくのを見ることができます。イラストはIPA(独立行政法人情報処理推進機構より引用)

このセキュリティ問題の恐ろしいところは被害にあったかどうか確認追跡が困難な点にあります。なぜでしょうか?

悪意を持ったユーザーがネットにつながってさえいれば、脆弱性のあるサーバーに忍び込み、ユーザーの情報が入っているメモリ内の情報を盗み取ることができ、かつ足あとが付かないのです。

暗号通信をかけているためにIDやパスワード、クレジット情報が根こそぎ取られかねません。こうした抜け穴から情報を盗み出そうと4万5千の不正アクセスとみられる数字が登っているのです。

サーバー運営者は早急にこのOpen SSLを最新のバージョンに上げる必要があります。
利用者には、フィッシング詐欺などに合わないようにメールで、「緊急確認」などを謳って、URL付きで本物に似せたサイトでIDやパスなどを入力させる偽装メールが増える可能性があります。

メールでIDやパスワードの確認を催促するようなメールは徹底放置です。

なおGoogleやFacebookではこの脆弱性に対応したとの報道があります。ぜひ、迅速に日本のネットバンキングや通販サイト等では、この脆弱性に対応してもらいたいものです。