[HeartBleed] ネットの世界では対岸の火事という言葉は存在しないって話

つい先日ネット通信におけるセキュリティに関しての脆弱性が明るみになりました。
ちなみに自分がこの問題を知ったきっかけがこちらの記事

ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11?(gizmode.jp)
この脆弱性についての詳細は各web・ネット系マガジンやセキュリティ関連のサイトですでに解説されています。内容がわからなくても一読しておくといいかも。

この脆弱性にはすでに「HeartBleed」名前が付けられています。
意味は「血しぶきあげる心臓」といったニュアンスでしょうか?超怖いネーミングです;
そして、専用のサイトもすでに立ち上がっています。

Heartbleed bug
英語のサイトですが翻訳ツールなど使えば内容はざっくりわかります。

この脆弱性による影響はネット上の3分の2くらいに及ぶらしく、特定の国がどうのこうのという話ではないようです。今回の脆弱性にはopensslの特定のバージョンに問題があるのが原因なので、すでに修正パッチも出ています。
バージョンや修正パッチに関する情報はこちらにいろいろ書いてあります。

OpenSSL の脆弱性に関する注意喚起(JPCERTCC)

このHeartBleedBugに対する対応は開発者の場合、セキュリティ証明書の再発行などしてもらい修正に対応したりになるんでしょう。
またレンタルサーバーなどでセキュリティ通信を行っている方は自分の利用証明書がどうなっているか確認しといた方が良さそうです(でも、ちゃんとお知らせがくると思うんですけど)。
修正自体はシンプルなようなのでむしろ過去の通信に関しての問題の影響の方が心配かもしれません。

次に一般のネットユーザーですが、銀行やクレジットカードそれとカードを登録して決済をしているサービスなど、これらのパスワードはサービス元から変更の指示があった場合はすみやかに変更しておいた方がよさそうです(自分もやりました)。
もちろん今回の脆弱性の影響がないセキュリティで運用しているサービスもあるので全てというはなしではないですが、決済関連の処理には慎重になっておいたほうが良さそうです(安全が確認できるまで利用を控えるのもありかもしれません)。

今回の脆弱性をどう悪用されるかわかりませんし、利用しているサービスがこの問題にどう対応しているかもわかりませんし、仮に説明されても「opensslのバージョンが。。。。」など話を聞いてもわからないと思いますので不安を減らすためにもサービス元から指示がある場合はパスワードの変更をしておいた方がいいと思います(できれば一度変えたあとも時期を見て変更しておくとさらにいいかもしれませんね)。

なので、わりと昨今ネット上でよく言われる「パスワードは定期的に変更しましょう」ってやつは今後は実践しておいた方が良さそうです。まさにいつやるの?今でしょ?ってやつです(すでに懐しい)。どういうタイミングで新たな脆弱性が発見されるかわからないし、パスワードの変更回数を日頃から増やしておけばいくらか被害にあうリスクが減るかもしれませんからね。

最初はカナダの話かと思っていたら全世界レベルの話でしたということで、「ネットの世界に対岸の火事という言葉は存在しないんだな」とつくづく感じました。

また、こういう緊急性のある問題に対して素早く対応してお知らせしてくれるサービスと未だなんの連絡もないサービスがあります。こういうときに問題に対する誠実さみたいのが垣間見えますよね。