先週の4月7日にインターネット上のセキュリティの根幹をなす技術の一つである「SSL」のオープンソース版「OpenSSL」の特定のバージョンに2年前から 脆弱性ぜいじゃくせい があったことが見つかり公表され、世界中のソーシャルネットワークサイトやオンラインショッピングなどの会員登録型サイト等が、対応に追われた／追われているようです。
追記：heartbleed.com ドメインは4月5日に取得されているので、発見はそれ以前と思われます。

今回の脆弱性は、インターネット史上最悪とも言われる程あまりに致命的であり、「heartbeat拡張」と呼ばれる機能に関連していることから、「Heartbleed（心臓出血）」と名付けられました。

SSLとは：
簡単に言えば、https:// で始まるサイトやVPNと呼ばれる暗号化通信で使う、サイトの真偽の証明や通信の暗号化を行う一連の技術。

---

• Heartbleed Bug
• ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと | ReadWrite Japan

日本では一般向けの具体的な情報がどうも少ない

ITニュース系サイトでも取り上げられていますが、ネットで検索してみると、どちらかと言うと技術的な詳細について記述したものが多く、「一般のユーザーはどうしたらよいのか」を解説したページが少ないように思います。

ユーザーが取るべき対応としては、基本的には、該当したWebサイトのうち、

• 修正を適用済みのサイトではパスワードを変更したほうがよい
• 修正を適用していないサイトではパスワードを変更をしても無意味であるだけでなく、かえって危険

です。

今のところ、海外の Mashable や CNET といったニュースサイトで、どのサイトが該当する／しない、パスワードの変更等をした方がよいかどうかについて、主要なオンラインサービスのリストをアップしていますが、日本国内ではこうしたまとめ情報が非常に少なく、断片的な情報ばかりの印象を受けます。

Mashable

• The Heartbleed Hit List: The Passwords You Need to Change Right Now

  

CNET

• Heartbleed bug: Check which sites have been patched - CNET

  

日本の場合（独立行政法人 情報処理推進機構(IPA) 関連サイト）

• JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

  

SSLを利用するサイトの30%、日本は45％のサイトが該当？

トレンドマイクロ社の調査によると、全世界のSSLを利用するサイトの30％、中でも日本は 45％ ものサイトが該当するとの調査結果が出ています。

• 脆弱性「Heartbleed」、トップ100万ドメインから選別されたTLDの5%に影響 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

  

しかし、検索しても日本のサイトに関する情報が少なく海外の翻訳記事が出てくる程度で、どこが影響を受けているのか判断材料を探すのにも一苦労の状況です。

今回の脆弱性を修正できるのは、サーバー／ネットワーク管理者やネットワーク機器のベンダーのみで、基本的に、一般ユーザーは前述のように対策済みのWebサービスのパスワードを変更するくらいで、他にはほとんど手出しできません。（追記：後述の方法で個別にチェックすることは出来ます）

• OpenSSLの「Heartbleed」脆弱性、一般ユーザーの自衛は困難　対応は長期戦か (1/3) - ITmedia ニュース
• OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも - ITmedia エンタープライズ
• OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 -INTERNET Watch

大手サービスでは、恐らくユーザー宛に案内メールなどが配信されているかもしれませんが、とりあえずは、情報を待つか問い合わせてみるしかなさそうです。

日本国内のサービス事業者のニュースリリース・お知らせなど（4/20追記・更新）

• OpenSSL の脆弱性に対する、ウェブサイト利用者（一般ユーザ）の対応について：IPA 独立行政法人 情報処理推進機構
• OpenSSL HeartBleed ニュースリリース お知らせ - Google 検索

ユーザー側で個別にチェックする方法（4/15追記）

現在、次のサイトでサイトのアドレスを入力して個別に簡易チェックをすることが出来ます。（ただし100％結果を保証するものではありません）

また、Google Chrome、Firefox を使っている場合は、このサイトで提供している拡張機能をインストールすることで、サイトにアクセスした際に自動的にチェックする事もできるので、こちらを使えば手間もかかりません。（4/22追記：Mac版 FoxBleed は正常に動作しないようなので、代わりに Heartbleed Notifier を使用してください）

• Test your server for Heartbleed (CVE-2014-0160)

  

---

• Chrome ウェブストア - Chromebleed
• FoxBleed :: Add-ons for Firefox（Windows）
• Heartbleed Notifier :: Add-ons for Firefox（Mac）

これを機にパスワード管理の強化を

Twitter や Facebook、Dropbox や Evernote など、様々な Webサービスを利用していると、パスワードの変更や管理も一苦労です。

人によっては専用ソフトを使ったり、Excel ファイルにパスワードをつけて保存したり、手帳に書いたりしているかもしれませんが、やはり専用ソフトがあると便利です。

個人的には、以前から「1Password」という海外製ソフトをファミリーライセンスで購入して家族で使っており、各々、Mac と iPhone/iPad とで情報を同期させています。ログイン・パスワード以外にもクレジットカードの情報等も登録できるので、オンラインショッピングやインターネットバンキングの利用にも便利です。
ちなみに、自分が登録しているパスワード等の総件数を見てみたら、150件以上ありました。並大抵の人間ではそんなにも暗記できません。

パスワード管理ソフトベンダーも「今がチャンス」と軒並み値下げキャンペーンを行っているようなので、これを機に検討してみてはいかがでしょうか。

パスワード管理ソフトの例

• 1Password
  ASCII.jp：iPhone必須アプリ！　ID・パスワード管理「1Password」を徹底解説 (1/3)｜柳谷智宣の「神アプリの説明書」

  

  1Password - Password Manager

  • AgileBits Inc.
  • 仕事効率化
  • 無料
  • 
  https://itunes.apple.com/jp/app/1password/id443987910?mt=12&uo=4&at=1l3v2xF

• Best Password Manager, Free Form Filler, Secure Digital Wallet | Dashlane
  スマホの面倒なID・パス入力は「Dashlane」で華麗にスルー - CNET Japan

  

  Dashlane – パスワードマネージャー

  • Dashlane
  • 仕事効率化
  • 無料
  • 
  https://itunes.apple.com/jp/app/dashlane-password-manager/id552383089?mt=12&uo=4&at=1l3v2xF

• LastPass - パスワードマネージャ、フォーム記入、パスワード管理
  【神アプリ】もう２度とID/パスワード忘れで悩まない！LastPass活用術 - NAVER まとめ

  

  LastPass Password Manager

  • LogMeIn, Inc.
  • 仕事効率化
  • 無料
  •