OpenSSLの重大バグ「Heartbleed」発覚に伴い、あなたが今すぐパスワードを変更するべきサービス一覧

先日、OpenSSLの重大バグ「Heartbleed」が発覚し、ネット上で大騒ぎとなっていた。非常に深刻な脆弱性となっているため、ネット上の様々なサービスが被害を被っている。

詳しくはTechCrunch Japanに書いてあるが、これは従来「安全」とされていたセキュリティにおける重大な欠陥であり、決して他人事では済まされない話だ。

セキュリティー研究者らが “Heartbleed“と呼ぶそのバグを悪用すると、過去2年以内のあらゆるバージョンのOpenSSLが走るシステムで、システムメモリー上にある大量のデータを暴露することが可能だ。

これがどういうことかと言うと、パスワード入力時に「*」などの文字で他人に読み取れないように置き換えられていたはずのパスワードが第三者に読み取れる可能性がある、ということだ。つまり、パスワードを盗み見できてしまうのだ。ハッキリ言ってこれは極めて危険。

あなたが日頃使っているサービスもパスワード漏洩の危険性に晒されている可能性は十分にある。Mashableにパスワードを変更するべきサービスがまとめられていたので、紹介する！

パスワードを変更するべきサービス一覧

Facebook

影響を受けたかは不明だが、パスワードは変更するべき。Facebookは「既に対策済み。『Heartbleed』が発覚する前にOpenSSLに対するセキュリティを強化した。各アカウントにおける不正な動きは今のところ検知していないが、ユーザーにはユニークなパスワードを設定することを推奨する」とコメントしている。

Instagram

「Heartbleed」の被害を受けたため、パスワードは変更するべき。Instagramは「既に対策済み。不正にアクセスされたアカウントは今のところ見つかっていない。ただし、ウェブにおける幅広いサービスに影響を及ぼしたため、Instagramのパスワードを変更することを推奨する。特に、同じパスワードを複数のウェブサービスで利用しているのであれば尚更」とコメントしている。

「Heartbleed」の被害を受けたため、パスワードは変更するべき。Pinterestは「既に対策済み。今のところ不正アクセスは見つかっていない。ただし、被害を受けた可能性があるユーザーにはパスワードを変更することを推奨するメールを直接送った」とコメントしている。

Tumblr

「Heartbleed」の被害を受けたため、パスワードは変更するべき。Tumblrは「既に対策済み。不正アクセスは発見されていない。」とコメントしている。

Google

「Heartbleed」の被害を受けたため、パスワードは変更するべき。被害を受けた「Google検索」「Gmail」「YouTube」「Google Wallet」「Google Play」「Google Apps」「Google App Engine」は既に対策済み。「Google Chrome」と「Chrome OS」は被害対象ではない。Googleは「パスワードの変更は必須ではないが、発覚した脆弱性があることから変更しておいて損はしない」とコメントしている。

Yahoo

「Heartbleed」の被害を受けたため、パスワードは変更するべき。被害を受けた「Yahooホームページ」「Yahoo検索」「Yahoo Mail」「Yahoo Finance」「Yahoo Sports」「Yahoo Food」「Yahoo Tech」「Flickr」「Tumblr」は既に対策済み。Yahooは「『Hearbleed』が発覚して早急に対応し、他のサービスも現在対応中」とコメントしている。

Gmail

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。Googleは「パスワードの変更は必須ではないが、発覚した脆弱性があることから変更しておいて損はしない」とコメントしている。

Yahoo Mail

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。Yahooは「『Hearbleed』が発覚して早急に対応し、他のサービスも現在対応中」とコメントしている。

Amazon Web Services

「Heartbleed」の被害を受けたため、パスワードは変更するべき。対策済みサービスは「Elastic Load Balancing」「Amazon EC2」「Amazon Linux AMI」「Red Hat Enterprise Linux」「Ubuntu」「AWS OpsWorks」「AWS Elastic Beanstalk」「Amazon CloudFront」。Amazonは「ほとんどのサービスは影響されていない、もしくは既に対策済み」とコメントしている。

Flickr

Minecraft

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。Minecraftは「一時的にすべてのサービスを停止している。ユーザーの情報に被害が全くなかったとは断言できない」とコメントしている。

Netflix

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。Netflixは「すぐに対策を実施した。ユーザーのアカウントの不正利用は把握していないが、パスワードを変更するのであれば今のタイミングを推奨したい」とコメントしている。

SoundCloud

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。SoundCloudは「ユーザーに対する被害はない」とコメントしている。

YouTube

Box

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。Boxは「さらなるセキュリティ強化のために、ユーザーとパスワードをリセットする方法や新しいSSL証明書の発行を検討中」とコメントしている。

Dropbox

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。Twitterで以下のようにコメントを発表している。

Quick update on #heartbleed: We’ve patched all of our user-facing services & will continue to work to make sure your stuff is always safe.

— Dropbox Support (@dropbox_support) April 8, 2014

Github

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。GitHubは「既に対策済みで古いSSL証明書を破棄し、新しいSSL証明書を発行済み。すべてのユーザーに対してパスワードの変更をお願いしていると同時に二段階認証をするよう求めている」とコメントしている。

IFTTT

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。すべてのユーザーに対してパスワードを変更するように求めている。

Wunderlist

「Heartbleed」の被害を受けたため、パスワードは変更するべき。既に対策済み。Wunderlistは「強制的にログアウトさせているので再度ログインする必要がある。新しくパスワードを再設定することを強く推奨する」とコメントしている。

被害を受けていないサービス

LinkedIn
Twitter
Apple
Amazon
Microsoft
AOL
Hotmail/Outlook
eBay
Groupon
Nordstrom
PayPal
Target
Walmart
Hulu
Evernote
WordPress
1Password

追記：ウェブサービス側で修正を施してからパスワード変更を！

ブログ「I believe in technology」を書かれている@reynotchさんに指摘して頂いたのだが、パスワードの変更は脆弱性が発見されたウェブサービス側が対応を完了したあとにやるべきであるそうだ。

Heartbleedがらみでパスワードを変えるのは、そのサイトがHeartbleedへの対応を済ませてからね。その前にやってもあまり意味はない。パスワード変更依頼のフィッシングメールも十分に想定できるので、うかつにパスワード変更を煽るべきではない。

— reynotch (@reynotch) April 11, 2014

@planetofgori 元のエントリは脆弱性があったかどうか、それが修正されたかどうか、そして「What did they say?」に書かれているベンダー側の解説の３つを根拠として変えるべきか、変えるべきではないかを判断しています。あのリストはその根拠があってこそです。

— reynotch (@reynotch) April 11, 2014

今すぐチェック！自分が使っているウェブサービスが被害を受けていないか確認できる「Heartbleed test」が登場 | gori.me（ゴリミー）

Apple、OpenSSLの重大バグ「Heartbleed」による被害はなかったことを発表 | gori.me（ゴリミー）

（via Mashable）