三菱UFJニコス、OpenSSLの脆弱性を狙った攻撃を受けて会員情報が不正に閲覧される
2014年4月20日 17:55
三菱UFJニコスは18日、クレジットカード会員専用WebサービスがOpenSSLの脆弱性を狙った攻撃を受け、延べ894名分のWeb会員情報が不正に閲覧されたことを発表した(三菱UFJニコス: 重要なお知らせ、三菱UFJニコスの発表: PDF、朝日新聞デジタルの記事、ITmediaエンタープライズの記事、毎日新聞の記事)。
不正アクセスが検知されたのは11日6時33分。調査の結果、OpenSSLの脆弱性を狙ったものであることが特定されたという。同社は14時30分からWebサービスを停止してOpenSSLをアップデートするなどの措置を行い、翌12日7時48分にWebサービスを再開したとのこと。該当する会員にはすでに電子メールや手紙、電話などで連絡済みだという。OpenSSLの脆弱性が原因で実際に情報が流出したのは国内初のようだ。
不正アクセスにより閲覧されたのは、カード番号の一部および氏名、生年月日、住所、電話番号、電子メールアドレス、カード有効期限、WebサービスのID、カード名称、入会年月、利用代金支払口座、勤務先、勤務先電話番号など。Webサービスのログインパスワードおよびカードの暗証番号は閲覧されていないという。また、カード番号は一部が非表示になっているため、不正利用される可能性は低いとしている。
毎日新聞の記事によると、同社ではOpenSSLの脆弱性が公表されたことを受けて対応策の検討を開始しており、暫定的に対処するソフトを不正アクセスが検知される直前に導入していたという。しかし、対策を行う前から攻撃は始まっていたようで、状況からみて9日夜から侵入されていたと考えられるとのことだ。 スラッシュドットのコメントを読む | オープンソースセクション | オープンソース | 犯罪 | セキュリティ | バグ | 情報漏洩 | プライバシ
関連ストーリー:
OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる 2014年04月17日
「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか 2014年04月17日
OpenSSLの重大な脆弱性「Heartbleed問題」への対応に追われるネット業界 2014年04月14日
Heartbleed開発者曰く、OpenSSLのバグは意図的なものではない 2014年04月13日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日
三菱UFJニコスカードのWebサービス、パスワードを強制的に8桁に切り詰める 2012年11月20日
OpenSSLのコードの汚さに「サルが書いたコードだ」との批判 2009年11月05日