インターネット上の買い物サイトなど、個人情報が含まれるやり取りで幅広く使われる暗号化ソフト「ＯｐｅｎＳＳＬ（オープン・エス・エス・エル）」の欠陥問題で、クレジットカード大手の三菱ＵＦＪニコスが不正アクセスを受けた。同社は今回の欠陥と修正版が公表された７日（米国時間）から問題を把握していたが、不正アクセスの検知やサービス休止など、具体的な対応をする前の「タイムラグ」に侵入された。同社は「対策まで時間がかかったのは認識している。対策が完了する前に攻撃された。痛恨の極みだ」と話す。

　三菱ＵＦＪニコスによると、不正アクセスされたのは同社のクレジット会員向けのウェブサービス。延べ８９４人分の名前や住所、電話番号、生年月日、電子メールアドレス、カード番号（一部非表示）などが盗み見られた可能性がある。

　ＯｐｅｎＳＳＬの欠陥と修正版は、４月７日夜（米国時間）、同ソフトを開発・管理している技術者らのプロジェクトサイトで公表された。三菱ＵＦＪニコスは、この発表を受けて対応策の検討を開始。日本時間の１１日午前６時３分、サイトの不正侵入防止システムに、今回の欠陥に暫定的に対処するソフトを導入した。

　同６時３３分から、断続的にソフトが不正アクセスを検知したため、同１０時１５分に欠陥による「穴」をふさぐ措置をとった。その後、午後２時半にウェブサービスを休止し、修正版を適用したうえで１２日午前７時４８分からサービスを再開した。ソフトを入れる前の状況を確認すると、９日午後７時から侵入されていたという。

　情報セキュリティー大手のトレンドマイクロ社は、今回の三菱ＵＦＪニコスの対応について「（国内企業の対応として）遅いとは言えない」と話す。ただ問題は、その一般的な対応で、今回のような情報流出を防ぐことができなかったという点だ。

　警察庁によると、同ソフトの欠陥を標的とした国内でのアクセスは、既に９日午前６時台から観測されていた。同庁は１０日に結果を公表、欠陥のあるＯｐｅｎＳＳＬのバージョンを使用しているかどうかを確認したうえで、速やかに修正版を適用することを推奨していた。欠陥を狙った攻撃側の動きの方が、防御側より早かったのが実態だ。