カーリルセキュリティアラート「図書館システムのHeartbleed Bugへの対応について」


2014/4/17 9:00 更新 : 脆弱性検出数の推移をアップデートしました

図書館のシステム担当者の皆様へ

OpenSSLの脆弱性(CVE-2014-0160)はパスワードや内部データなどの機密情報を容易な方法で第三者が取得できる、極めて緊急性の高いものです。この脆弱性はHeartbleed Bugと呼ばれ全世界的に対策が進められており、カーリルでは対策が完了しております。

図書館のウェブシステムにおいては、予約などの個人情報を扱う処理の安全性を高めるためにSSLが広く利用されており、この処理にOpenSSLが利用されています。この脆弱性はサーバーの通信内容や機密鍵を第三者が容易に取得することが可能であり、情報が漏洩したとしても一般的にログが残りません。

既に多くの図書館においては対策が進められているものと思いますが、図書館が広くこの問題を認識し対策を円滑化するために、改めて注意喚起をいたします。

なおカーリルでは連携先の図書館システムを対象に簡易的な検査を実施しており、脆弱性が疑われるホストに対しては継続的に追跡をしております。影響が大きいと思われる大規模な図書館については個別にご連絡をしておりますが、脆弱性が疑われる図書館が多く、すべての図書館に個別のご連絡することができません。各図書館においてもただちに状況を把握するようにしましょう。
脆弱性の有無についてはいくつかの確認サイトで簡単に確認することができます。

【図書館システム・ウェブサイトの脆弱性検出数の推移】(対象3492ホスト)
2014年4月8日  19:00時点  178ホスト (うち公立図書館のシステム、34館)

2014年4月8日  21:40時点  174ホスト
2014年4月9日  9:00時点  160ホスト
2014年4月9日  11:00時点  156ホスト
2014年4月9日  16:00時点  150ホスト
2014年4月15日  0:00時点  54ホスト (うち公立図書館のシステム、5館)
2014年4月15日  10:00時点  52ホスト (うち公立図書館のシステム、4館)
2014年4月16日  12:00時点  49ホスト (うち公立図書館のシステム、3館)
2014年4月17日  9:00時点  41ホスト (うち公立図書館のシステム、1館)
2014年4月19日  14:00時点  32ホスト (うち公立図書館のシステム、0館)

※ホストには図書館システムと図書館のウェブサイトがあるサーバー(市役所のウェブサーバー)を含みます。
※公立図書館の集計数は、図書館システムが存在するホストに絞って集計したものです。

脆弱性への対応についてご不明な点がありましたら可能な範囲でご協力が可能です。お気軽にお問い合わせください。カーリルでは、安心して図書館のウェブサービスをご利用いただけるよう、図書館やシステム開発元とも連携して安全かつ先進的なサービスを提供してまいります。

緊急時連絡先 : カーリル 0573-67-8105