インターネットで安全な通信を実現するTLS/SSLに、Webサーバーを対応させるソフトウエア「OpenSSL」。2014年4月に見つかったそのOpenSSLの脆弱性「Heartbleed」は当時、多くのWebサービスでクレジットカード情報の漏洩など、深刻な被害を引き起こした。

 このとき大きく騒がれたHeartbleedだったが、1年経たずして名前をあまり聞かなくなった。2014年は、TLS/SSLの古いバージョンが持つ脆弱性「POODLE」や、Webサーバーでよく使うLinuxなどのUNIX系OSのプログラム「bash」の脆弱性「Shellshock」など、重大な脆弱性が次々と見つかったからだ。

 だが、4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。

メニコンの子会社ダブリュ・アイ・システムが運営する「A-Web倶楽部」。情報漏洩が判明した後、おわびページを表示している
(出所:ダブリュ・アイ・システム)
[画像のクリックで拡大表示]

漏洩元のサーバーでおわびページを表示

 メニコンの情報漏洩は、コンタクトレンズを定期購入する会員サイト「A-Web倶楽部」で発生した。3412件の個人情報が漏洩し、5月2日までにクレジットカードを不正利用された会員は27人、被害額は合計で約668万円としている。

 ダブリュ・アイ・システムは3月27日、A-Web倶楽部で利用していた決済代行サービス会社の指摘で情報漏洩の可能性があると把握。セキュリティ会社に調査を依頼して、5月2日に調査結果を受け取ったとしている。

 メニコンによれば、「調査結果からWebサーバーにOpenSSLの脆弱性があり、それが原因で漏洩した」(広報)という。ただし6月1日時点では、「セキュリティ会社からの調査結果をまだ精査している段階で、詳細については話せない」(同)としている。

 そこで記者は、米クオリスのセキュリティ診断サービス「SSL Server Test」を使って、A-Web倶楽部のWebサーバーの状態を確認してみた。その結果、A-Web倶楽部のWebサーバーでは、多くの脆弱性を持った状態でおわびページを表示していることが判明した。

 この点についてメニコンは、「会員にいち早く現状を伝えたかったため、脆弱性のない別のサーバーを用意せずに漏洩元のサーバーをそのまま使った」としている。

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら