2014年4月7日頃に顕在化した、OpenSSLの脆弱性「Heartbleed」によって、三菱UFJニコスは利用者のアカウント情報を盗まれ、個人情報を第三者に閲覧される被害に遭った(関連記事:国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か)。

 トレンドマイクロが提供するパスワード管理ソフトでは、一部の製品でOpenSSLを利用したWebサーバーを使っていた。そのため、ユーザーに対してソフト上で管理していたすべてのWebサイトのIDとパスワードを変更するよう、呼びかけることを強いられた(関連記事:トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか)。

 このような被害は、OpenSSLを利用していたすべてWebサイトで発生する恐れがある。OpenSSLは主にWebサーバー側で利用しているケースが多いため、サーバー設置者が対処するべきと思われがち。だが実際には、Webサイトにアクセスするだけの一般ユーザーにこそ、対処が必要なのだ。

 ところが、具体的に何をすれば被害に遭わずに済むのか、情報が少ない。そこで今回は、一般ユーザーがどのような対応をとるべきかを紹介しよう。

Heartbleedって血が出るの?

 まずは簡単に、Heartbleedとその脆弱性を持つOpenSSLについて、おさらいする。

 OpenSSLは、多くの報道で「暗号化ソフト」と呼ばれている。だが、通信内容の暗号化は、OpenSSLが提供する機能のほんの一部である。実際は、サーバーやクライアントの認証を行ったり、通信内容の完全性を確認したりといった、複数の機能を提供するソフトウエア群という表現が正確だろう。

この先は会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら