インターネットで広く使われてる基礎技術に重大な欠陥が見つかりました。

長らく安全だろうと信じられ、さまざまなサービスをつくるのに広く使われていたOpenSSLという基礎技術が、「実は安全ではなかった」とが発覚したのです。

まだ、その方法で何か大きな被害などが報告されているわけではありませんが、数日前から欧米では大きな問題となりテレビや新聞でも報じられています。

これにより、画面上では「・」に置き換え表示されて他の人にわからないように思えるパスワードも含め、インターネット上の多くのやりとりが、傍受できる可能性が出てきました。

もちろん、既に解決策を見つけて対処をしているWebサイトも多数あります。

ちなみに米国ではmashableというブログが、この問題によってパスワードが漏洩する可能性があったWebサービスの一覧を公開しています：

The Heartbleed Hit List: The Passwords You Need to Change Right Now
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/


こうしたところでパスワードを盗まれると、今すぐには被害がでなくても、後でドロボウがパスワードをずっと知っていることを隠しておいて、あるとき、突然、乗っ取りをしたり、モノを買ったりと悪用する可能性もないとは言えません。



また、特定のサービスが安全かを確認するWebサイトも登場しています：
Heartbleed Server Test
http://filippo.io/Heartbleed/

上のサイトは @heima さんに教えてもらいました。

山下計画の山下哲也さんによれば、楽天やAmazonなどは概ね大丈夫ですが、いくつか日本の銀行系サイトで問題が大きそうなところがあるようです。

悪用するハッカー達はこんな情報、とっくに知って、行動を起こしているのに、こうした情報を報道しないことで、知らない人達が危険な場所を危険なまま歩くような状態が続いています。

日本のマスメディアでも、そろそろこの問題を本格的に取り上げ報じるべきタイミングだと思います。


なお、ツイッターで色々な方と情報交換したところ慌ててパスワードを変更しようとすると、そのタイミングでパスワードを盗まれる可能性もあるので、該当サイトには対策が施されるまでアクセスしないでおいて、対策が施されたらすぐにパスワードを変えた方が良さそうですね。