Heartbleedの脆弱性にはほとんどのサイトが対応済み
OpenSSLにHeartbleedの脆弱性が見つかり、一般のニュースでも大きな話題となっている件で、シマンテックがこの脆弱性の影響や対応状況の調査を行った。同社はHeartbleed 脆弱性のあるWebサイトの確認を行い多く利用されているサイトの調査を行ったところ、Alexa による上位1,000のWebサイトすべてがこの脆弱性に対応済みで、上位5,000のサイトで見ても残り24件のみが未対応で、多くの人気サイトが対応済みであることが判明した。上位50,000でみても1.8%のみが脆弱で、一般ユーザが利用するサイトのほとんどはHeartbleed の影響を受けないとみている。しかし、サイト更新前にデータが盗まれた可能性もあるため、パスワードの使い回しは行わないようにし、既存パスワードは変更することを推奨している。ただし、まだサイトに脆弱性がある場合には変更しないよう呼びかけている。
OpenSSLは暗号化通信を利用するサイトで多く使われるため、Heartbleedが悪用されて秘密鍵が盗まれればユーザIDやパスワードなど個人情報が盗まれる恐れがあるが秘密鍵を盗み出すのは困難で、Heartbleed を使って鍵を盗み出すにもサーバ再起動直後のみなど特定の条件が満たされている場合にのみ成功するため、影響はそこまで多くない。また、脆弱なサイトに対するスキャンは広く行われているがその多くは研究者によるもので、攻撃者による大量スキャンは比較的少数しか確認されておらず、人気の高いサイトでは影響は受けていない。しかし引き続き注意は必要で、企業は最新の修正版である1.0.1gへの更新かHeartbeat 拡張機能を使わずにOpenSSLの再コンパイルを行うほか必要があればSSL サーバ証明書の再発行、基本的なセキュリティ対策やパスワードリセットの検討がある。また、一般ユーザは利用しているプロバイダからの通知に注意し、パスワード変更の連絡があった場合には変更を行うようにするとともに、フィッシングメールの可能性にも注意し、アクセスする際には公式サイトのドメインを確認するよう呼びかけている。
