Internet Security Research Group(ISRG)は米国時間6月15日、同組織が運営する無料の証明書発行サービス「Let's Encrypt」の複数のユーザーに向けて、他のユーザーの電子メールアドレス情報を誤送信してしまった問題に対する調査結果を発表した。
ISRGのエグゼクティブディレクターJosh Aas氏は、11日に発生したデータ漏えいに関して謝罪するとともに、この問題の原因がLet's Encryptのサブスクライバー向け電子メールシステムに存在したバグにあったと報告した。
このバグにより、認証局(CA)のサブスクライバー向け同意書の更新を知らせる電子メールにおいて、「(電子メール本文の)先頭に他者の電子メールアドレス0〜7617件分が誤って付加されてしまった」という。
その結果、7618人のもとに、本文中に他者の電子メールアドレスが平文で付加された電子メールが送付されることになった。
この数字を見ると大規模なデータ漏えいに聞こえるが、問題の通報が遅れたり、メール送信処理の停止が迅速に行われなかった場合、事態はずっと深刻なものになっていたはずだ。
7617件の電子メールアドレスが漏えいしたとはいえ、この数字は同意書の更新を知らせる電子メールの送信が予定されていたユーザー数の1.9%でしかない。同システムは、38万3000人全員の電子メールアドレスを漏えいしてしまう前に停止され、調査された。
Aas氏は、一部のユーザーは他のユーザーよりも多くの電子メールアドレスを目にしたはずだと述べている。各電子メールには、それまでに送信した電子メールの宛先アドレスが含まれるようになっていたため、先に送信した電子メールほど、後に送信したものよりも漏えいした電子メールアドレスが少なくなっていたのだという。
Aas氏は「われわれはユーザーとの関係を極めて真剣に捉えており、今回の過ちについて謝罪する」と記している。
Let's Encryptは、無料のTLS証明書をウェブ管理者に発行することで、インターネットのセキュリティを改善しようとしている。同組織は、3月に無料TLS証明書の発行数が100万件を超えたと発表し、4月にベータ段階を終了し、150万件以上の証明書を発行して世界中の300万のウェブサイトにおけるコミュニケーションチャネルを暗号化している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
