Webサイトの“鍵”まる見え問題、利用者がすべきことは？：半径300メートルのIT

[宮田健，Business Media 誠]

　IDとパスワードを入力して使うクラウドサービス（例えば、Gmail）やネットショップなどを使う際に、必ずチェックしてほしいのがWebブラウザに表示される「鍵マーク」の有無です。これは「通信が暗号化されているので、安全ですよ」という意味なのですが、この暗号化部分を提供するプログラムに重大な欠陥が発見され、エンジニア業界で大騒ぎになっています。

　とはいえ、利用者の立場では対応できることがほとんどなく、サービス事業者の対応を待つだけです。ただし、慌ててパスワードを変更せず、まずはサービス事業者からの指示を見逃さないようにしてください（この問題の対応の前にパスワードを変更すると、新しいパスワードも丸見えになる可能性があります）。

利用者が注目すべき点はサービス提供企業の「対応度」

　「Heartbleedバグ」と呼ばれる今回の欠陥、ざっくり説明すると「本当は見えちゃいけない、サーバーのメモリ内情報が見えるようになっていた」というものです。これにより、見えちゃいけない暗号の“鍵”や、パスワードが流出した可能性があります。専門的な解説は＠ITの記事「OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家（参照記事）」を参考にしてください。

　この欠陥、影響範囲がとてつもなく大きな問題ですが、ユーザーの立場から注目すべきは「あなたの利用しているサービスが、この問題にどう対処しているか」という点です。

　筆者がこの問題に気付いたとき、即座に確認したのは金融機関系のサービスでした。例えば、各種金融機関の入出金情報を集め、一覧できるアプリを提供する「MoneyTree」は、この欠陥が判明した4月8日にはサービスを一時停止しました（4月10日には対処し、サービスを再開しています）。一般向けには大変分かりづらい今回の問題に、サポートを行うTwitterアカウントが丁寧に対応していたのが印象的でした。

　そのほかにも、クラウドサービスを貸し出すAmazon Web Servicesや、マイクロソフトもいち早く問題に対応、アナウンスを出しています。海外の各種クラウドサービスの対応一覧もまとめられています（参考リンク）。

　今回の問題、利用者自身がそのすべてを理解するのは難しいでしょう。ただし、このような問題があることを「把握」することは必須です。自分にとって重要なサービス（主に「お金」に関係するもの）については、サイトに「Heartbleed」に関するお知らせが出ていないかどうかをチェックしてください。

　ところで、原稿執筆時点（2014年4月13日）では、日本のメガバンク各社のトップページにはお知らせがありませんでした。今回の問題には当てはまらないため掲載していないという可能性はありますが、その場合でもできれば「OpenSSLは利用しておらず、無関係であるから安心してほしい」という記載があるとうれしいですね。