OpenSSL（読み）おーぷんえすえすえる（英語表記）OpenSSL

知恵蔵 「OpenSSL」の解説

OpenSSL

主にインターネット上のウェブサーバーにおいて、個人情報等の重要データを暗号化して利用するためのプログラム及びソフトのこと。OpenSSLは、ソフトウエアの源となる「ソースコード」を無償公開し、誰もが自由に改良、再配布できる「オープンソース」という概念に基づいたプログラムで、「OpenSSLProject」と呼ばれるボランティア組織によって開発された。最初のリリースは1998年。その後、グーグル、アマゾン、フェイスブックといった名だたる企業を始め、世界中のウェブサーバーなどで利用されてきた。
しかし2014年4月、OpenSSLに「Heartbleed(ハートブリード:心臓出血)」と名付けられる程深刻、かつ重要な脆弱(ぜいじゃく)性があることが発表された。
Heartbleedの脆弱性により、暗号化されたユーザー名やパスワード、クレジットカード番号などの個人情報や、それらを解読するための秘密鍵が漏えいする可能性が浮上した。なお、この脆弱性の影響を受けるOpenSSLは、バージョン1.0.1～ 1.0.1f、 1.0.2-beta～1.0.2-beta1。脆弱性を解消するには、OpenSSLProjectが用意した、新たなバージョン「1.0.1g」にアップデートするなどといった、サーバー管理者側での対策が必要となる。
また、Heartbleedの脆弱性は、2年間気付かれずに放置されていたため、すでに第3者によって個人情報を盗み見られたユーザーが存在する可能性がある。したがって、ユーザーは、早急にパスワードを変更すると共に、クレジットカードの明細上などに、不審な取引がないかどうかを確認する必要がある。
なお、2014年4月11日、三菱UFJニコス社の会員専用ウェブサービスにおいて、Heartbleedを悪用した不正アクセスを受け、延べ894名の会員の登録情報を不正閲覧されるといった被害が発生している。

(横田一輝　 ICTディレクター ／ 2014年)

出典　(株)朝日新聞出版発行「知恵蔵」

知恵蔵mini 「OpenSSL」の解説

OpenSSL

OpenSSL Projectが提供するオープンソースの暗号通信プログラム及びソフト。1998年12月、「OpenSSL0.9.1c」としてリリースされた。アメリカ国立標準技術研究所(NIST)に承認された初めての暗号プログラムであり、ネットショッピングのクレジットカード決裁などインターネット上の個人情報の送信について世界中で広く用いられている。2014年4月7日、OpenSSLに重大な脆弱性が見つかり、2年前から放置されていたことが明らかになった。14年4月14日、カナダではこの欠陥が悪用され、納税者約900人の社会保障番号が削除されていたことがわかったと発表。日本でも警察庁が、同年4月15日、この欠陥を狙ったとみられる攻撃を同9日からの1週間で4万4534件確認したと発表した。OpenSSLを扱っているジオトラスト社は、最新バージョンのOpenSSLへの更新を呼びかけている。

(2014-4-17)

出典　朝日新聞出版