有料会員限定記事 現在はどなたでも閲覧可能です
インターネットで安全な通信を実現するTLS/SSLに、Webサーバーを対応させるソフトウエア「OpenSSL」。2014年4月に見つかったそのOpenSSLの脆弱性「Heartbleed」は当時、多くのWebサービスでクレジットカード情報の漏洩など、深刻な被害を引き起こした。
このとき大きく騒がれたHeartbleedだったが、1年経たずして名前をあまり聞かなくなった。2014年は、TLS/SSLの古いバージョンが持つ脆弱性「POODLE」や、Webサーバーでよく使うLinuxなどのUNIX系OSのプログラム「bash」の脆弱性「Shellshock」など、重大な脆弱性が次々と見つかったからだ。
だが、4年経った2018年になってもHeartbleedの脆弱性を残したまま運用していた可能性の高いWebサーバーが見つかった。メニコン子会社のダブリュ・アイ・システムのWebサーバーだ。メニコンは5月17日、そのWebサーバーからクレジットカードなどの個人情報が漏洩したことを明らかにした。
漏洩元のサーバーでおわびページを表示
メニコンの情報漏洩は、コンタクトレンズを定期購入する会員サイト「A-Web倶楽部」で発生した。3412件の個人情報が漏洩し、5月2日までにクレジットカードを不正利用された会員は27人、被害額は合計で約668万円としている。
ダブリュ・アイ・システムは3月27日、A-Web倶楽部で利用していた決済代行サービス会社の指摘で情報漏洩の可能性があると把握。セキュリティ会社に調査を依頼して、5月2日に調査結果を受け取ったとしている。
メニコンによれば、「調査結果からWebサーバーにOpenSSLの脆弱性があり、それが原因で漏洩した」(広報)という。ただし6月1日時点では、「セキュリティ会社からの調査結果をまだ精査している段階で、詳細については話せない」(同)としている。
そこで記者は、米クオリスのセキュリティ診断サービス「SSL Server Test」を使って、A-Web倶楽部のWebサーバーの状態を確認してみた。その結果、A-Web倶楽部のWebサーバーでは、多くの脆弱性を持った状態でおわびページを表示していることが判明した。
この点についてメニコンは、「会員にいち早く現状を伝えたかったため、脆弱性のない別のサーバーを用意せずに漏洩元のサーバーをそのまま使った」としている。
