OpenSSL脆弱性の影響を受けるサイト一覧(随時更新中)
(日本の銀行などの情報がまだ集まっていません。情報があれば、情報源を示すURLとともにお知らせ下さい)
2014年4月8日に、OpenSSLに脆弱性があることが発表され、インターネットでは大騒動を見せています。
Facebookや、Yahoo、GmailのようなGoogleのサービスなど、誰もが利用しているWebサイトがこの脆弱性にさらされていたので、当然ですね。
このOpenSSL脆弱性は、発見・発表までの約2年間、存在していたことになります。
多くのサイトでは、この発表を受けてすでに対処(セキュリティーホールを埋めるパッチを当てるなど)していますが、最大で2年間はIDやパスワード、クレジットカードの情報が漏れていた可能性があるので、安心して良い人は1人もいません。
これほど深刻なセキュリティ上の問題であるにもかかわらず、ニュースで連日報道されるということもないですし、(少なくとも私の)Facebookのタイムラインがこの話題でもちきりということもない、ということに、驚いています。
「OpenSSL」というよくわからない単語を目にして、「自分には関係がない」と思っている方が多いのかもしれない、と思い、この記事を書いています。
ここでは、技術的な話は一切抜きにして、この脆弱性にさらされていたサイトを一覧にしていきます。
利用しているサイトがリストにあったら、「パスワードの変更」を行って下さい。
ただし、「サイトが『対策』したことを報告したのを確認してから」にしてください。
対策が行われるまでは、その変更したパスワードさえも漏れているからです。
(対策されているかどうかをチェックするサービス:http://filippo.io/Heartbleed/)
主に「Mashable」(http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/)でまとめられたものを参考にしています。
ここにリストされていないサイトが安全かというと、逆です。
リスト化するに値するほど著名なサイトのみがリスト化されているからです。
「著名でないサイト」は、ほぼ間違いなく「脆弱なOpenSSL」を利用していた、と考えるのが安全です。
また、「パスワードの使い回し」をしていたら、たとえ「安全」のリストにあったとしても、他のサイトで漏れたパスワードによって不正なログインを行うことが可能ですので、【一箇所でも漏れていそうなサイトを利用していたら】なんらかの対策を行わなければならないでしょう。
(意味はわかりますね?)
【パスワード変更などの対処が必要なサイト】
Yahoo(Yahoo Mailを含む)
Dropbox
Box
SoundCloud
Tumblr
Amazon Web Services
Etsy
GoDaddy
GitHub
IFTTT
Minecraft
OKCupid
Wunderlist
Intuit(TurboTax)
USAA
【ここからは漏れていないこと(安全)が確認されているサイト】
Apple(iOS, OS X)
Amazon.com
Microsoft(Hotmail/Outlook)
AOL
eBay
Groupon
Nordstrom
PayPal
Walmart
Evernote
Spark Networks
1Password
Dashlane
LastPass
Bank of America
Capital One
Chase
Citigroup
E*Trade
Fidelity
PNC
Schwab
Scottrade
TD Ameritrade
TD Bank
U.S. Bank
Wells Fargo
1040.com
FileYour Taxes.com
Healthcare.gov
TaxACT
【現時点では不明瞭なサイト】
Hulu
NetFlix
WordPress
H&R Block
IRS
[2014.4.11追記]あまりあてになりませんが、簡易チェックの結果がGitHubにありました(https://github.com/musalbas/heartbleed-masstest/blob/master/top10000.txt)。
なんであてにならないかというと、楽天とかのトップページがhttps接続でないサイトは"no SSL"と出るからです(楽天はSSL使うときはことなるサブドメインを割り当てている)。
この記事が気に入ったらサポートをしてみませんか?