「Heartbleed(ハートブリード)」バグの問題が発生してから数日を経たが、セキュリティベンダーのシマンテックはこの脆弱性の影響度を調査し、利用者の多いWebサイトのパッチ適用状態や攻撃の監視を続け、報告をまとめた。
Webサイトにアクセスする際のセキュリティで利用されているOpenSSLにHeartbleedバグが発見されたという今回の問題。カナダの歳入庁で社会保障番号が漏えいしたなどの被害が徐々に表面化しつつあるが、シマンテックが公式ブログで公開した「Heartbleed – 調査報告」によると、利用者の多いWebサイトは脆弱性に対応済みのようだ。
米Alexaによるアクセス上位1000サイトはすべてこの脆弱性に対応済み。上位5000サイトまで追跡対象を広げても脆弱性を残しているWebサイトは24件のみで、上位5万サイトに至ってはHeartbleedに対して脆弱なのは1.8%程度だった。
とはいえ、各Webサイトが脆弱性対策を更新する以前にデータが盗み出された可能性は否定できず、リスクを避けるためにも独自に対応を施すのが得策。まずは、現在利用しているWebサイトのパスワードを変更すること。ユーザーがパスワードを変更すべきかどうかについては、相反する情報が飛び交っているが、シマンテックではすべてのパスワードの変更を推奨している。
ただし、仮にもWebサイトに脆弱性が残っている場合、そのWebサイトのパスワードは変更してはいけない。パスワードを変更したところでWebサイトに脆弱性があることに変わりがなく、パスワード変更後にも情報漏えい等の危険性が残るからだ。たとえばシマンテックでは、WebサイトのURLを入力することで、Heartbleedに対する脆弱性の有無を確認できる「SSL Toolbox」を公開しており、こうしたツールを利用したいところだ。
なお、シマンテックでは16日のブログで、クライアントソフトウェアや、Webサーバー以外のさまざまなサーバにもHeartbleedバグの影響が及ぶ可能性を指摘。それはインターネットでつながるさまざまな機器も例外ではなく、スマート家電をはじめとしたモノのインターネットと呼ばれる「IoT(Internet of Things)」デバイスもリスクにさらされる恐れがあるとしている。