IPA、旧バージョンの「OpenSSL」利用者に注意喚起

鴨沢浅葱(Infostand)
シェア

 情報処理推進機構(IPA)は2009年9月8日、オープンソースの暗号化通信ソフト「OpenSSL」のユーザーに向け、脆弱性対策済みの新しいバージョンを使うよう「注意喚起」を発した。対策未適用のバージョンの報告が増加していることを受けたもので、迅速なバージョンアップを呼びかけている。

 2005年10月に公表された「OpenSSLにおけるバージョン・ロールバックの脆弱性」の修正を適用していないWebサイトがあるという届け出が2009年8月末までに88件と相次いだため。Webサイトの運営主体の内訳は、民間企業が50件、地方公共団体が27件、政府機関が9件、団体(協会・組合など)が2件だった。

 OpenSSLについては、このほかバッファオーバーフローやサービス運用妨害(DoS)など多数の脆弱性が発見・公表されており、対策には、2009年3月25日に公開された「OpenSSL 0.9.8k」以降のバージョンを導入する必要がある。

 IPAでは、放置しておくと不正アクセスを受ける危険性が高い脆弱性について、迅速な対応を求める「緊急対策情報」を随時発信。対象となる脆弱性を使った攻撃が確認されている場合は「緊急対策情報」、未確認の場合は「注意喚起」を行っている。

「OpenSSL」の古いバージョンを利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200909_openssl.html

緊急対策情報・注意喚起一覧
http://www.ipa.go.jp/security/announce/alert.html

IPA
http://www.ipa.go.jp/

OpenSSL
http://www.openssl.org/