OpenSSLに重大バグ、中国の2億人に影響

　オープンソースの暗号通信ライブラリであるOpenSSLに9日、本年度の最も深刻なセキュリティ面のバグ「心臓出血」が発見された。ハッカーはこのバグを利用することで、自宅のパソコンを使うだけで、「https」で始まる多くのウェブサイトのユーザーアカウントとパスワードをリアルタイムで入手できる（ネットバンク、ネットショップ、Eメールなどの情報が含まれる）。中国国内の多くのサイトは9日午後、この深刻なバグの修復に着手した。中国金融認証センター（CFCA）は、「ネットバンクの受ける影響は少なく、U盾（銀行専用USBメモリ）を安心して使用できる」と発表した。新京報が伝えた。

　◆2億人の中国人、情報漏洩のリスクに直面

　4月7日早朝、国内では同バグを使ったハッキングの兆しが見られた。ネットセキュリティ最大手の奇虎360のウェブサイト安全検査プラットフォームが、国内の授権済みの120万のサイトにスキャンをかけたところ、1万1440のサイトのホストコンピュータが、同バグの影響を受けていた。4月7日と4月8日に、約2億人のネットユーザーが、同バグの存在するサイトにアクセスした。

　奇虎360のセキュリティ専門家の石暁虹氏は、「OpenSSLの同バグは、ネットワークの核兵器と呼ばれるほどのものだ。ネットバンク、ネットショップ、オンライン決済、Eメールなどがすべて影響を受ける。多くの個人情報はサイトのサーバーのメモリーポートに保存されているため、ユーザーのパソコンがどれほど安全であろうと、サイトがバグのあるOpenSSLを使用していれば、ハッカーはアカウントとパスワードの登録をリアルタイムで監視できる」と指摘した。

　同バグによりどれほどの経済損失が生じたかに関する具体的な統計データはまだ発表されていないが、同バグを発見した研究者は、「最も人気の高い2大ウェブサーバーのApacheとnginxは、いずれもOpenSSLを利用している。全体的に見て、この2種類のウェブサーバーは、世界のサイト数の3分の2を占める」と語った。

　◆対応に追われる国内サイト

　同バグを発見した研究者は数日前に、OpenSSLのチームと重要な利益関係者に連絡した。OpenSSLはこれにより、バグ発表の当日に、修復版をリリースすることができた。同問題を解決するため、各サイトは最新版を早急にインストールする必要がある。

　中国国内の多くのサイトは8日午後に、同バグの緊急修復を開始した。しかしバグ修復には30分から1時間の時間が必要で、大型サイトの場合はさらに長い時間を要する。