(画像は同社Webサイトより)

かねてより報道されているOpenSSLの脆弱性問題ですが、ついに国内初の被害が公表されました。

クレジットカード会社大手の三菱UFJニコス株式会社（東京都千代田区）は、4月18日付で自社のWebサーバーに対して、OpenSSLの脆弱性を悪用した不正アクセスがあり、一部の顧客情報が流出したと発表しました。同社では、4月11日の時点で不正アクセスを検知し、即日Webサービスを停止していましたが、これに関する詳細の発表の中で、OpenSSLの脆弱性を突いたものであったことや被害件数など、詳細を発表したものです。

同社によると、流出した個人情報は、利用者の氏名、住所、電話番号、生年月日、メールアドレス、金融機関の口座情報、勤務先名称、勤務先電話番号など894名分で、カード番号については、一部をマスキングしていたとのことです。

http://www.cr.mufg.jp/corporate/
http://www.cr.mufg.jp/corporate/info/pdf/2014/140418_01.pdf

本件に関しては、脆弱性が発表されてからかなり日が経過しており、不正アクセスで狙われる可能性が日々高まっています。SSL暗号化通信を利用しているWebサーバーの管理者さんは、今すぐ下記の情報などを参照し、対応することをオススメします。

http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html（IPAの注意喚起）

管理者側の対策の要約：
１）脆弱性が公表されたOpenSSLを使用しているかどうかの確認
２）使用している場合はバージョンアップをして脆弱性を解消する
３）電子証明書を新しくする
４）利用者へのアナウンス（脆弱性の有無、対策の進捗、利用者への依頼事項）

（私のコメント）
同社の発表文では記載されていませんが、今回のOpenSSLの脆弱性の特徴からして、OpenSSLの脆弱性が公表された4月7日からサービスを停止した11日までにサイトにアクセスした利用者の情報が流出したものと思われます。すなわち、同社がもっと早くサービスを停止していれば今回のような被害はなかったことになります。もしくは利用者がアクセスをしなければ流出の被害にあわなかったと言えます。

利用者としては、上記４）の公式アナウンスを待ってから、パスワード変更などを行ってください。対応されていない状態のサーバーにアクセスすると、今回の例のようにその情報が流出する可能性があります。ご注意ください。