一般ユーザーのための“Heartbleed処方箋”

　2014年4月7日頃に顕在化した、OpenSSLの脆弱性「Heartbleed」によって、三菱UFJニコスは利用者のアカウント情報を盗まれ、個人情報を第三者に閲覧される被害に遭った（関連記事：国内でもOpenSSL「心臓出血」が悪用、三菱UFJニコスから894人の情報流出か）。

　トレンドマイクロが提供するパスワード管理ソフトでは、一部の製品でOpenSSLを利用したWebサーバーを使っていた。そのため、ユーザーに対してソフト上で管理していたすべてのWebサイトのIDとパスワードを変更するよう、呼びかけることを強いられた（関連記事：トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか）。

　このような被害は、OpenSSLを利用していたすべてWebサイトで発生する恐れがある。OpenSSLは主にWebサーバー側で利用しているケースが多いため、サーバー設置者が対処するべきと思われがち。だが実際には、Webサイトにアクセスするだけの一般ユーザーにこそ、対処が必要なのだ。

　ところが、具体的に何をすれば被害に遭わずに済むのか、情報が少ない。そこで今回は、一般ユーザーがどのような対応をとるべきかを紹介しよう。

Heartbleedって血が出るの？

　まずは簡単に、Heartbleedとその脆弱性を持つOpenSSLについて、おさらいする。

　OpenSSLは、多くの報道で「暗号化ソフト」と呼ばれている。だが、通信内容の暗号化は、OpenSSLが提供する機能のほんの一部である。実際は、サーバーやクライアントの認証を行ったり、通信内容の完全性を確認したりといった、複数の機能を提供するソフトウエア群という表現が正確だろう。