古いバージョンの「OpenSSL」利用サイトに注意喚起

　独立行政法人情報処理推進機構（IPA）は9月8日、オープンソースの暗号化実装ツールキット「OpenSSL」の脆弱性が公表され、対策版が公開されているのにもかかわらず未適用サイトの届出が増加しているとして、注意喚起した。

　OpenSSLについては、2005年10月にバージョン・ロールバックの脆弱性が公表されており、対策版も公開されている。しかし、2009年8月末までに修正バージョン未適用の届出が88件あった。サイト運営主体の内訳は、民間企業が50、地方公共団体が27、政府機関が9、団体（協会・組合など）が2となっている。

　この脆弱性を放置すると、弱い暗号化通信方式を強制されてしまい、暗号通信を解読されて情報が漏えいする可能性がある。OpenSSLにはほかにも、バッファオーバーフローやサービス運用妨害（DoS）の脆弱性が公表されており、解消するためにはOpenSSLの最新版にバージョンアップする必要がある。IPAによると、少なくともOpenSSL 0.9.8k未満には脆弱性が存在するため、バージョンアップが必須とのことだ。