セキュリティ情報

情報処理推進機構、「OpenSSL」の古いバージョンを利用しているWebサイトへ注意喚起

情報処理推進機構(IPA)は9月8日、オープンソースの「OpenSSL」の脆弱性について、「脆弱性が残っている、古いバージョンのOpenSSLを利用しているWebサイト」に対し、OpenSSLの迅速なバージョンアップの実施を呼びかける「注意喚起」を発表した。

古いバージョンの「OpenSSL」にはバージョン・ロールバックの脆弱性などがあり、この脆弱性を悪用されると、弱い暗号化通信方式を強制されてしまうため、暗号通信を解読され、情報が漏洩する可能性がある。現時点で既知の脆弱性については、2009年3月25日に公開された「OpenSSL 0.9.8k」以降において対策が施されているため、これ以前のものを使用している場合は、OpenSSL 0.9.8k以降へのバージョンアップが必要である。なお、OpenSSLのバージョンを確認するには、コマンドラインから「openssl version」を入力すればよい。

また、この注意喚起の中では、近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっていることが指摘されている。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文