Heartbleedの発覚から1ヶ月。今だからこその呼びかけ。

業界を震撼させたセキュリティの穴 もう塞いだ?

※先に言っておきます。この記事は専門的な話ではありません。

4月初旬に発覚したOpenSSLの致命的なバグ「Heartbleed」
業界を震撼させたのはもちろん、影響の範囲がかなり広かったこともあり、連日多数のメディアで取り上げられ、一般層にもある程度周知が広まったと思っていました。
しかし、数日前に「あーやっぱりそんなもんか。」と、改めて社会のセキュリティへの意識の低さを知る出来事がありました。

そんな低い意識が少しでも変われば、という思いも込めて・・。

つい先日、数カ月前まで業界で働いていた友人と会った際にふと聞いてみました。
「少し前にセキュリティ関連で深刻なバグが見つかって、凄い騒ぎになってたの知ってる?」彼の答えはNO。
一般層ならまだしも、まさか数カ月前まで業界にいた人間さえも知らないとは。。

また、おそらくは知ったところで「自分には関係ない」と思ってしまう(無意識も含め)のでしょうね、社会全体に加えてこの個々の意識の低さもどうにかしなければいけませんね。
更に夜の23時頃に放送されている某ニュース番組のキャスターが、番組内でこのバグの特集のVTRが流れた後にスタジオ内で残念なコメントをしてました。

「こういった問題が発生したら、まずはユーザーが各自でパスワードを変更するなどの対策をきちんとやらないといけない。ということですね。特に日本人はセキュリティの意識が低いですからそこを変える必要がありますね。結局私も変更してませんからね。」

あり得ない。専門家ではないにしても対策を呼びかける側の立場にいるメディアの人間がそんなことを公言するなんて。

メディア結局は自分自身が気付かないと意味がないのでしょうね。
今からでも遅くはありません。今これを読んでいる皆さんは気付いてください。

今回のバグに対して大手サイトはもちろん、小規模サイトでもまともな管理者であれば、既に対策を講じているはずですが、それで安心してはいけません。何故ならこのHeartbleedというバグはハッキングに利用されても痕跡は残らないのです。
となると「対策済み」と謳われていても、それが意味するのは「既に対策はしたものの、当該SSLを導入してからこれまでの間にどれだけ被害があったかはわかりません。」ということになります。

つまり、あなたの個人情報も盗まれた可能性が大いにあります。

多くの方が色々なサービスで同じパスワードをログイン情報に使用しています。
どこか一箇所であなたのパスワードが盗まれたとすれば、あなたになりすまして他のサイトにログインするのは簡単です。

1.家の鍵をコピーされた可能性があります。
2.今なら無償で新しい鍵穴と交換します。
と言われたら、鍵を交換しますよね?では対策しましょう。

以下のサービスについてはパスワードの変更をした方が良いとされています。
使用されている方はすぐに変更しましょう。

Google Gmail Facebook Instagram Tumblr Pinterest Dropbox

次に、これを機にあなたが利用している主要webサービスのパスワードも変更しましょう。理由は先に述べた通りです。

そして、今後はほんの少し意識を変えて定期的に変更するようにしましょう。
できなければ定期的ではなくても構いません。年に一度または数年に一度でも構いません。兎に角まずは意識を少しでも変えることが大切です。

最後に10年近く前に同じ会社で仕事をしていたことがある友人の話。
なんと、当時私が社内システムに設定した全社員共通のパスワードと同じパスワードを、自社のシステムのパスワードに使用しているとのこと。

「だって忘れたら困るから♪」

誰か彼を救ってください・・・。
頼りない鍵
※彼のセキュリティの意識レベルはこの鍵と一緒です。