画面●今回の「心臓出血」脆弱性を報告するWebサイト
画面●今回の「心臓出血」脆弱性を報告するWebサイト
[画像のクリックで拡大表示]

 三菱UFJニコスは2014年4月18日、同社Webサービスから894人分の個人情報が流出した恐れがあることを明らかにした。OpenSSLの「Heartbleed(心臓出血)」脆弱性が悪用されたことを特定したという。特定した方法については、「セキュリティの都合上、コメントできない」(同社広報部)としている。

 三菱UFJニコスでは、同社Webサービスに対して不正アクセスが行われたとして、4月11日14時30分から4月12日7時48分まで、会員専用のWebサービスを停止していた。今回、その原因や影響範囲について明らかにした。

 それによると、今回の不正アクセスによって、同社発行のクレジットカード会員の情報894人分が第三者に閲覧された恐れがあるという。閲覧された恐れのある情報は、カード番号、氏名、生年月日、住所、電話番号など。

 ただし、カード番号は一部がマスクされているので、悪用される可能性は極めて低いだろうとしている。また、カードの暗証番号やWebサービスのログインパスワードについては、閲覧された可能性はないという。

 同社では、4月11日6時33分に不正アクセスを検知。直ちに調査したところ、OpenSSLの「心臓出血」脆弱性を狙った不正アクセスであることが特定できたという。この脆弱性は、OpenSSLが備える「heartbeat」機能に存在する。OpenSSLを利用しているサーバーに対して、細工を施したデータを送信されるだけで、サーバーのメモリー上にある情報を盗み出される恐れがある(関連記事:OpenSSLで露見した脆弱性、「心臓出血」の影響はどこまで及ぶ)。

 今回問題になっているheartbeat機能によるやり取りは、通常、Webサーバーのログには残らない。このため、悪用した攻撃を受けているかどうかが分からないことが、今回の脆弱性の特徴の一つ。三菱UFJニコスでは、今回の攻撃は「心臓出血」脆弱性を悪用したものであることを特定したとしているが、特定した方法についてはコメントできないとしている。

 また、セキュリティベンダーなどの情報によると、「心臓出血」脆弱性を悪用されると、Webサーバーの秘密鍵の盗まれる恐れもあるという(画面)。そこで、今回の不正アクセスにおいて、サーバーの秘密鍵を閲覧された恐れがあるかどうか尋ねたが、これについても、セキュリティの都合上、コメントできないとしている。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら