ハワイアンズモールのクレジットカード情報流出、原因はOpenSSLの脆弱性「HeartBleed」
観光施設「スパリゾートハワイアンズ」で知られる常磐興産は2017年7月12日、同社のショッピングサイト「ハワイアンズモール」で、最大6860件のクレジットカード情報が流出した可能性があると発表した。原因は、システムで利用していたSSL/TLSライブラリである「OpenSSL」の脆弱性「HeartBleed」である。 常磐興産がハワイアンズモールの運営を委託しているシステムフォワードが提供するシステムが、外部からの不正アクセスを受け、情報が流出した。不正アクセスを受けたのは、2017年2月10日から5月25日の間と見られ、この間にハワイアンズモールでクレジットカード決済を行ったユーザーのクレジットカード情報が流出した可能性がある。なお、スパリゾートハワイアンズ施設内でのクレジットカードの利用は、情報流出の対象ではないという。 2017年5月25日にクレジットカード決済代行会社からクレジットカ
OpenSSLの脆弱性「Heartbleed」、約20万のサーバやサービスでいまだに放置
Shodanの報告書によると、1月22日の時点でHeartbleedの脆弱性が修正されないまま放置されているサーバやサービスは19万9594件に上る。 2014年4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性について、2年近くたった今も、この脆弱性が修正されないまま放置されているサーバやサービスが約20万件に上ることが、Shodanの報告書で明らかになった。 それによると、2017年1月22日の時点でHeartbleedの脆弱性(CVE-2014-0160)を検索したところ、19万9594件の検索結果が表示された。国別に見ると、米国を筆頭に韓国、中国、ドイツなどが多数を占めていた。 ドメイン別ではAmazon AWSで使われている「amazonaws.com」が最多で、AWSでホスティングされているサーバの脆弱性が修正されないまま放置されている様子がうかがえる
OpenSSLの更新版公開、2件の脆弱性を修正
危険度「高」を含む2件の脆弱性が修正されたほか、TLSプロトコルに発覚した「Logjam」の脆弱性の回避策が実装された。 OpenSSLプロジェクトチームは1月28日、予告通りにOpenSSLの更新版となるバージョン1.0.2fと1.0.1rを公開し、2件の脆弱性に対処したことを明らかにした。 2件の脆弱性のうち、「DH(Diffie-Hellman)小サブグループ」の脆弱性は危険度「高」に分類されている。OpenSSLやCERT/CCのセキュリティ情報によると、OpenSSLでは従来は「安全な」素数に基づくDHパラメータのみが生成されていたが、バージョン1.0.2からはX9.42方式のパラメータファイル生成がサポートされた。しかしこのファイルに使われる素数は「安全」でなく、攻撃者に鍵を取得されてしまう恐れがある。 さらにこの素数は、プロセスが続く間はデフォルトで再利用される設定になってお
患者450万人の個人情報流出、発端はOpenSSLの脆弱性だった
米病院チェーンから患者450万人の個人情報が流出した事件は、4月に発覚したOpenSSLの重大な脆弱性を突く攻撃でネットワークに侵入されていたことが分かった。 米病院チェーンのCommunity Health Systems(CHS)社から患者約450万人の個人情報が流出した問題で、米セキュリティ企業TrustedSecは8月19日、4月に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を突く攻撃が、流出の発端だったことが分かったと伝えた。 CHSのネットワークは4~6月にかけて外部から攻撃され、系列の医療機関を受診した患者約450万人の氏名や住所、社会保障番号などが流出したとされる。TrustedSecは、この問題に関する調査に詳しい関係者から情報を入手したという。 それによると、攻撃者はHeartbleedの脆弱性を突いてCHSのJuniper製デバイスのメモリか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
