2014/4/17 9:00 更新 : 脆弱性検出数の推移をアップデートしました
図書館のシステム担当者の皆様へ
OpenSSLの脆弱性(CVE-2014-0160)はパスワードや内部データなどの機密情報を容易な方法で第三者が取得できる、極めて緊急性の高いものです。この脆弱性はHeartbleed Bugと呼ばれ全世界的に対策が進められており、カーリルでは対策が完了しております。
図書館のウェブシステムにおいては、予約などの個人情報を扱う処理の安全性を高めるためにSSLが広く利用されており、この処理にOpenSSLが利用されています。この脆弱性はサーバーの通信内容や機密鍵を第三者が容易に取得することが可能であり、情報が漏洩したとしても一般的にログが残りません。
既に多くの図書館においては対策が進められているものと思いますが、図書館が広くこの問題を認識し対策を円滑化するために、改めて注意喚起をいたします。
なおカーリルでは連携先の図書館システムを対象に簡易的な検査を実施しており、脆弱性が疑われるホストに対しては継続的に追跡をしております。影響が大きいと思われる大規模な図書館については個別にご連絡をしておりますが、脆弱性が疑われる図書館が多く、すべての図書館に個別のご連絡することができません。各図書館においてもただちに状況を把握するようにしましょう。
脆弱性の有無についてはいくつかの確認サイトで簡単に確認することができます。
2014年4月8日 19:00時点 178ホスト (うち公立図書館のシステム、34館)
2014年4月8日 21:40時点 174ホスト
2014年4月9日 9:00時点 160ホスト
2014年4月9日 11:00時点 156ホスト
2014年4月9日 16:00時点 150ホスト
2014年4月15日 0:00時点 54ホスト (うち公立図書館のシステム、5館)
2014年4月15日 10:00時点 52ホスト (うち公立図書館のシステム、4館)
2014年4月16日 12:00時点 49ホスト (うち公立図書館のシステム、3館)
2014年4月17日 9:00時点 41ホスト (うち公立図書館のシステム、1館)
2014年4月19日 14:00時点 32ホスト (うち公立図書館のシステム、0館)
※公立図書館の集計数は、図書館システムが存在するホストに絞って集計したものです。
脆弱性への対応についてご不明な点がありましたら可能な範囲でご協力が可能です。お気軽にお問い合わせください。カーリルでは、安心して図書館のウェブサービスをご利用いただけるよう、図書館やシステム開発元とも連携して安全かつ先進的なサービスを提供してまいります。
緊急時連絡先 : カーリル 0573-67-8105