Heartbleed(OpenSSLの脆弱性)が自分にも関係あるかも、を一般ユーザーが確認できるリスト
URLに「https」って書いてあればとりあえず安心、という情弱である私にはHeartbleed Bugについて説明することはできませんが(こちらの記事などを参照してください)、全然安心じゃないみたいだということは分かりました。
で、一般ユーザーはどうすればいいんだろうといろいろみたところ、サービス側が対処してくれないことにはどうしようもないということが分かりました。
まず、自分が使っているWebサイトが影響を受けたかどうか、対処済みかどうかを確認できるリストを見つけました(テストツールでのチェック結果なので確実ではありませんが)。GitHubのこのファイルです。ITmediaはSSLじゃないので関係ない、とか分かります。
10時間も前のリストなので、その後対処したサービスもあるかもしれません。「サービス名 Heartbleed」とかでググると分かるかも。
このリストでもし「vulnerable」になっていたら、(もう遅いかもしれないけど)クレジットカード番号とかは入れないようにします。で、あわててパスワードを変更したりしてはいけません。その入力も盗まれちゃうかもしれないからです。
「not vulnerable」になっていたら、念の為にパスワードを変更することを多くのセキュリティ研究者が勧めています。
私もGoogleとFacebookとAmazonのパスワードは変更しました。米Yahoo!とかFlickrのアカウントも持ってるんですが、「vulnerable」のままなので、パスワード変更はじっと我慢。
こんなに一度にパスワード変えると覚えられないけど、しょうがない。しばらくはわたわたしそうです。とほほ。
【追記】別投稿でHeartbleed Bugの悪用のしくみについて書きました。