4月8日の段階でのHeatbleedバグへの対応状況。630ものサイトが「vulnerable(脆弱でああるとのこと)」
https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt
もちろんおそらくこれらのほとんどは修正されたOpenSSLにアップデートされているでしょう。
特定のサイトがまだHeartbleedの脆弱性を持っているかどうか(つまり、いまだにダダ漏れかどうか)はこういうサイトでチェックできます。
ユーザーとして出来ることは何かなと考えてみました。
まず自問すべきは「パスワードは複数のサイトで同じものを使いまわしているか?」。使いまわしている場合は、普段使うサイトの中でもセキュリティーの要求が高いもの(たとえばオンラインバンキングとか)のパスワードは変更した方がいいでしょうね[*1]。変更する際は「同じパスワード」はやめましょう。
同じものを使いまわしていないなら、まず自分を褒めてあげましょうw。そして、おそらく自分にとって重要度の高いサイト(サービス)のパスワードを念のために変更した方がいいかもしれませんね。
この脆弱性が存在している間にどれぐらいのデータが漏れたか、全くもってわかりません。ここが厄介なところで、見積もるためのデータが無いんですよね(まぁ一般的にハッカーがどのぐらいいて、その中でもTLSアタックを専門にしている数を出して、ぐらいまでは過去のデータでわかるかもしれませんが・・)なので、最悪の状態(つまり全ての専門のハッカーが全ての一般的なサイトをアタックし、しかも全てのメモリーの内容がコピーされ(連続してアタックすれば可能)、しかもその全てがスキャンされている、その中に自分のユーザー名とパスワードが含まれている、という可能性)をまず考えるべきかと。
分からないですねぇ・・ これらの作業は全て簡単にスクリプトで実行できますし。しかもこの3・4日でOpenSSLがアップデートされる前に「やるなら今!」ってことで漏れているかもしれませんし。
被害が出るシナリオと条件として考えられるのは、
- パスワードは同じものを使いまわしていた。
- ここ2年の間ぐらいにとあるスタートアップのサイトに登録した。
- スタートアップのサイトは人不足で放置状態に近い。
- このサイトが攻撃されて、ユーザー名とパスワードのペアが多く抜かれた。
- 攻撃者がこのペアを使って、たとえばPayPalへのログインを試みたら成功した。
- 1ドルとか2ドルとかの単位で自分に対して支払をする(最近はばれ安い大金は取らないらしい・・)
そういった感じでしょうか。
*1ちなみに、急いでパスワード変更をしない方がいい、という意見もあるし、すぐにした方がいい、という意見もある。私はした方がいいに賛成。まだ脆弱な状態のサーバーだと、また抜かれる可能性もあるし、むしろメモリーに残る可能性も上がる、だけど、同じ抜かれるにしても過去2年間で抜かれたであろうパスワードと同じものが今現在サイトで有効か無効かの差は大きいと思う。少なくとも前に抜かれたのを無効化できる。(ただ、4月11日の段階ではほとんどの有名どころは修復してるのであんまり関係ないけど)
