編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

「Let's Encrypt」、ユーザーのメールアドレス7617件を誤送信

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2016-06-15 11:34

 Internet Security Research Group(ISRG)は米国時間6月15日、同組織が運営する無料の証明書発行サービス「Let's Encrypt」の複数のユーザーに向けて、他のユーザーの電子メールアドレス情報を誤送信してしまった問題に対する調査結果を発表した。

 ISRGのエグゼクティブディレクターJosh Aas氏は、11日に発生したデータ漏えいに関して謝罪するとともに、この問題の原因がLet's Encryptのサブスクライバー向け電子メールシステムに存在したバグにあったと報告した。

 このバグにより、認証局(CA)のサブスクライバー向け同意書の更新を知らせる電子メールにおいて、「(電子メール本文の)先頭に他者の電子メールアドレス0〜7617件分が誤って付加されてしまった」という。

TechRepublic Japan関連記事

 その結果、7618人のもとに、本文中に他者の電子メールアドレスが平文で付加された電子メールが送付されることになった。

 この数字を見ると大規模なデータ漏えいに聞こえるが、問題の通報が遅れたり、メール送信処理の停止が迅速に行われなかった場合、事態はずっと深刻なものになっていたはずだ。

 7617件の電子メールアドレスが漏えいしたとはいえ、この数字は同意書の更新を知らせる電子メールの送信が予定されていたユーザー数の1.9%でしかない。同システムは、38万3000人全員の電子メールアドレスを漏えいしてしまう前に停止され、調査された。

 Aas氏は、一部のユーザーは他のユーザーよりも多くの電子メールアドレスを目にしたはずだと述べている。各電子メールには、それまでに送信した電子メールの宛先アドレスが含まれるようになっていたため、先に送信した電子メールほど、後に送信したものよりも漏えいした電子メールアドレスが少なくなっていたのだという。

 Aas氏は「われわれはユーザーとの関係を極めて真剣に捉えており、今回の過ちについて謝罪する」と記している。

 Let's Encryptは、無料のTLS証明書をウェブ管理者に発行することで、インターネットのセキュリティを改善しようとしている。同組織は、3月に無料TLS証明書の発行数が100万件を超えたと発表し、4月にベータ段階を終了し、150万件以上の証明書を発行して世界中の300万のウェブサイトにおけるコミュニケーションチャネルを暗号化している。

 

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]