<OpenSSL欠陥>国内のスマホ6機種 OSに問題

インターネットの通販サイトなどで使われる個人情報を暗号化するソフト「OpenSSL(オープン・エス・エス・エル)」に欠陥が見つかった問題で、国内で流通しているスマートフォン6機種に搭載されている基本ソフト(OS)に問題があることが分かった。情報セキュリティー会社は、電話帳など個人情報が盗まれる可能性があると指摘しており、携帯電話会社はOSのバージョンアップやソフトウエアの更新を呼びかけている。
 情報セキュリティー大手・トレンドマイクロ社や携帯電話各社によると、問題があるのは欠陥のあるOpenSSLを採用している米グーグルの基本ソフト「アンドロイド4・1・1」(2012年7月開発)を搭載するスマホ。NTTドコモに3機種、KDDI(au)に2機種、ウィルコムに1機種ある=表。3社はいずれもユーザー数を明らかにしていないが、これまでに被害は確認していないという。ソフトバンクモバイルとイー・アクセスは「該当する端末はない」としている。
 問題のあるスマホで、実在する企業などを装って個人情報を入力させる「フィッシング詐欺」などの不正サイトに誤ってアクセスした場合、不正サイトからスマホに空のデータが送られると、所有者が気づかないまま、スマホ内の情報が抜き取られてしまう。マイクロSDカードなど外部記憶媒体に保存されている情報は流出しないが、メールアドレスや電話番号などが記載された電話帳、写真、送受信された電子メールなどをスマホのネット閲覧ソフトで使用すると、メモリー上に残ったデータが盗まれる恐れがある。
 トレンドマイクロによると、12年1月時点で約5300件だったスマホ向け不正サイトは、14年1月には約7万3000件確認されており、約14倍に急増している。同社は「迷惑メールなどに記載されたサイトにアクセスしないよう気を付けてほしい」と呼びかけている。
 グーグル広報部は取材に対し「OpenSSLの欠陥が公になる前から、携帯電話会社などに対し情報を提供したり修正プログラムを案内したりしている」と説明。NTTドコモは「1機種は昨年、残る2機種は4月にOSをバージョンアップして問題を解消できるようにした」、KDDIも「4月にソフトウエアを更新可能にした」としており、ユーザーがスマホを操作すれば問題は解消できる。一方、ウィルコムは未対応で「5月中に対応できるよう準備中」と回答した。
 ドコモは0120・800・000、KDDIは0077・7・111、ウィルコムは0570・039・151で問い合わせに対応している。【関谷俊介】
 ◇欠陥のあるOpenSSLを採用しているスマートフォン(カッコ内は販売開始時期)
 【NTTドコモ】
 (1)ギャラクシー・ネクサスSC-04D(2011年12月)※
 (2)ギャラクシー・ノート2SC-02E(12年11月)
 (3)ギャラクシーS3αSC-03E(12年12月)
 【KDDI(au)】
 (4)HTC-JバタフライHTL21(12年12月)
 (5)インフォバーA02(13年2月)
 【ウィルコム】
 (6)ディグノデュアルWX04K(12年6月)※
 (1)は昨年5月、(2)と(3)は4月17日、(4)と(5)は4月30日、問題解消可能に。(6)は未対応。
 ※は元々は問題のないOSだが、発売後「アンドロイド4・1・1」にバージョンアップ可能に。バージョンアップした場合のみ該当
 ◇残る未改善のサイト ハッカーらによる攻撃増加
 OpenSSLはインターネットの通販サイトやネットバンキングなどで、クレジットカード番号、ID、パスワードなどを暗号化して送受信するソフト。2年前に提供されたバージョンに欠陥があることが4月7日に公表された。問題を抱えているサイトが攻撃を受けると情報が盗まれる。
 トレンドマイクロによると、5月4日現在、国内の主要1万7852サイト中104サイトが欠陥を放置したまま。同社は104サイトの実名を伏せているが、主に店舗販売をしている会社のネット販売サイト、地方の交通機関のサービスサイト、求人サイトなどが多いという。
 問題サイト数は当初調査(4月11日)の534サイトの約5分の1に減ったとはいえ、問題公表後はハッカーらによる攻撃が増加しており早急な対応が必要だ。同社は「大手通販や金融会社系サイトは対応済みだが、改善されていないサイトの中に、従業員数千人規模の大企業が運営するものもある」と指摘する。【関谷俊介】

タイトルとURLをコピーしました