IPA、「OpenSSL」の旧版を利用しているWebサイトに注意喚起

OpenSSL 0.9.8以前にはバージョン・ロールバックの脆弱性が存在する

　情報処理推進機構（IPA）は8日、脆弱性が存在する旧バージョンの「OpenSSL」を利用しているWebサイト運営者に対して、バージョンアップ実施を呼びかける注意喚起を発表した。

　IPAでは、2008年11月頃からOpenSSLを使用している複数のWebサイトに対して、「脆弱性対策を実施したバージョンが既に公表されているにも関わらず、Webサイト運営者がそのバージョンを適用していないのではないか」という旨の届出が増加していると説明。具体的には、2005年10月に公表された「OpenSSLにおけるバージョン・ロールバックの脆弱性」の修正バージョン未適用の届出が、2009年8月末までに88件あったという。Webサイト運営主体の内訳は、民間企業が50件、地方公共団体が27件、政府機関が9件、団体（協会・組合など）が2件。

　OpenSSLには、2005年10月に公表されたバージョン・ロールバックの脆弱性があり、この脆弱性を悪用されると、弱い暗号化通信方式を強制され、暗号通信を解読されて情報が漏えいする可能性がある。このほか、OpenSSLには、バッファオーバーフローの脆弱性やサービス運用妨害（DoS）の脆弱性も公表されている。

　対処方法としては、脆弱性対策を施した最新版へのバージョンアップが必要となる。現時点で既知の脆弱性については、2009年3月25日に公開されたOpenSSL 0.9.8k以降で対策されているため、IPAではWebサイト運営者に対して最新版へのバージョンアップの実施と、今後の新たな脆弱性の公表に備えて、定期的に開発者が発信する情報を収集することを呼びかけている。