オープンソースの暗號(hào)通信ライブラリであるOpenSSLに9日、本年度の最も深刻なセキュリティ面のバグ「心臓出血」が発見された。ハッカーはこのバグを利用することで、自宅のパソコンを使うだけで、「https」で始まる多くのウェブサイトのユーザーアカウントとパスワードをリアルタイムで入手できる（ネットバンク、ネットショップ、Eメールなどの情報(bào)が含まれる）。中國國內(nèi)の多くのサイトは9日午後、この深刻なバグの修復(fù)に著手した。中國金融認(rèn)証センター（CFCA）は、「ネットバンクの受ける影響は少なく、U盾（銀行専用USBメモリ）を安心して使用できる」と発表した。新京報(bào)が伝えた。

　◆2億人の中國人、情報(bào)漏洩のリスクに直面

　4月7日早朝、國內(nèi)では同バグを使ったハッキングの兆しが見られた。ネットセキュリティ最大手の奇虎360のウェブサイト安全検査プラットフォームが、國內(nèi)の授権済みの120萬のサイトにスキャンをかけたところ、1萬1440のサイトのホストコンピュータが、同バグの影響を受けていた。4月7日と4月8日に、約2億人のネットユーザーが、同バグの存在するサイトにアクセスした。

　奇虎360のセキュリティ専門家の石暁虹氏は、「OpenSSLの同バグは、ネットワークの核兵器と呼ばれるほどのものだ。ネットバンク、ネットショップ、オンライン決済、Eメールなどがすべて影響を受ける。多くの個(gè)人情報(bào)はサイトのサーバーのメモリーポートに保存されているため、ユーザーのパソコンがどれほど安全であろうと、サイトがバグのあるOpenSSLを使用していれば、ハッカーはアカウントとパスワードの登録をリアルタイムで監(jiān)視できる」と指摘した。

　同バグによりどれほどの経済損失が生じたかに関する具體的な統(tǒng)計(jì)データはまだ発表されていないが、同バグを発見した研究者は、「最も人気の高い2大ウェブサーバーのApacheとnginxは、いずれもOpenSSLを利用している。全體的に見て、この2種類のウェブサーバーは、世界のサイト數(shù)の3分の2を占める」と語った。

　◆対応に追われる國內(nèi)サイト

　同バグを発見した研究者は數(shù)日前に、OpenSSLのチームと重要な利益関係者に連絡(luò)した。OpenSSLはこれにより、バグ発表の當(dāng)日に、修復(fù)版をリリースすることができた。同問題を解決するため、各サイトは最新版を早急にインストールする必要がある。

　中國國內(nèi)の多くのサイトは8日午後に、同バグの緊急修復(fù)を開始した。しかしバグ修復(fù)には30分から1時(shí)間の時(shí)間が必要で、大型サイトの場(chǎng)合はさらに長(zhǎng)い時(shí)間を要する。