（日本の銀行などの情報がまだ集まっていません。情報があれば、情報源を示すURLとともにお知らせ下さい）

2014年4月8日に、OpenSSLに脆弱性があることが発表され、インターネットでは大騒動を見せています。

Facebookや、Yahoo、GmailのようなGoogleのサービスなど、誰もが利用しているWebサイトがこの脆弱性にさらされていたので、当然ですね。

このOpenSSL脆弱性は、発見・発表までの約2年間、存在していたことになります。

多くのサイトでは、この発表を受けてすでに対処（セキュリティーホールを埋めるパッチを当てるなど）していますが、最大で2年間はIDやパスワード、クレジットカードの情報が漏れていた可能性があるので、安心して良い人は1人もいません。

これほど深刻なセキュリティ上の問題であるにもかかわらず、ニュースで連日報道されるということもないですし、（少なくとも私の）Facebookのタイムラインがこの話題でもちきりということもない、ということに、驚いています。

「OpenSSL」というよくわからない単語を目にして、「自分には関係がない」と思っている方が多いのかもしれない、と思い、この記事を書いています。

ここでは、技術的な話は一切抜きにして、この脆弱性にさらされていたサイトを一覧にしていきます。

利用しているサイトがリストにあったら、「パスワードの変更」を行って下さい。

ただし、「サイトが『対策』したことを報告したのを確認してから」にしてください。

対策が行われるまでは、その変更したパスワードさえも漏れているからです。

（対策されているかどうかをチェックするサービス:http://filippo.io/Heartbleed/）

主に「Mashable」(http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/)でまとめられたものを参考にしています。

ここにリストされていないサイトが安全かというと、逆です。

リスト化するに値するほど著名なサイトのみがリスト化されているからです。

「著名でないサイト」は、ほぼ間違いなく「脆弱なOpenSSL」を利用していた、と考えるのが安全です。

また、「パスワードの使い回し」をしていたら、たとえ「安全」のリストにあったとしても、他のサイトで漏れたパスワードによって不正なログインを行うことが可能ですので、【一箇所でも漏れていそうなサイトを利用していたら】なんらかの対策を行わなければならないでしょう。

（意味はわかりますね？）

【パスワード変更などの対処が必要なサイト】

Facebook

Yahoo（Yahoo Mailを含む）

Instagram

Dropbox

Box

Pinterest

SoundCloud

Tumblr

Amazon Web Services

Etsy

GoDaddy

GitHub

IFTTT

Minecraft

OKCupid

Wunderlist

Intuit(TurboTax)

USAA

【ここからは漏れていないこと（安全）が確認されているサイト】

LinkedIn

Apple（iOS, OS X）

Amazon.com

Microsoft（Hotmail/Outlook）

AOL

eBay

Groupon

Nordstrom

PayPal

Walmart

Evernote

Spark Networks

1Password

Dashlane

LastPass

Bank of America

Capital One

Chase

Citigroup

E*Trade

Fidelity

PNC

Schwab

Scottrade

TD Ameritrade

TD Bank

U.S. Bank

Wells Fargo

1040.com

FileYour Taxes.com

Healthcare.gov

TaxACT

【現時点では不明瞭なサイト】

Twitter

Hulu

NetFlix

WordPress

H&R Block

IRS

［2014.4.11追記］あまりあてになりませんが、簡易チェックの結果がGitHubにありました（https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt）。

なんであてにならないかというと、楽天とかのトップページがhttps接続でないサイトは"no SSL"と出るからです（楽天はSSL使うときはことなるサブドメインを割り当てている）。