いつもDUGAをご利用いただきありがとうございます。すでに各報道機関よりアナウンスされておりますが、SSL/TLS暗号化ライブラリ「OpenSSL」のバージョン1.0.1/1.0.2系に、情報漏えいにつながる恐れのある深刻な脆弱性(CVE-2014-0160 OpenSSL Heartbleed)が発見されました。
当社におきましても、DUGAのすべてのサーバについて直ちに調査を実施いたしましたところ、当該バージョンのOpenSSLは使用しておらず、この脆弱性の影響は受けないことを確認させていただきましたので、ご報告申し上げます。
デジサート社(旧シマンテック)が提供している証明書チェックサイトで、ウェブサイトのOpenSSL 1.0.1系の脆弱性の有無を確認することができます。例えば、DUGAの脆弱性確認をしたい場合は、下記の証明書チェックサイト(SSL Certificate Checker)にアクセスし duga.jp と入力します。
SSL Certificate Checker(デジサート社)
調査の結果、DUGAは脆弱性の影響を受けないことが確認されましたので、この問題に関してお客様側で何らかの対応を行っていただく必要はございません。これまでどおり安心してDUGAのサービスをご利用ください。DUGAでは引き続きセキュリティの確保・向上・改善に努めてまいります。
OpenSSLの脆弱性に対する、ウェブサイト利用者の対応について(IPA 独立行政法人 情報処理推進機構)