ＯｐｅｎＳＳＬに脆弱性、バグは２年前から存在

このバグが特に問題なのは、単純な解決策がないことだ。危険にさらされたサイトと、そのサイトを訪れたことがあるユーザーの双方が対策を講じる必要がある。

サイト側は、ユーザーデータや暗号化キーを守るために、ＯｐｅｎＳＳＬの更新や証明書の再発行などが必要だ。

グーグルやフェイスブック、ヤフー、アマゾンなど、多くの主要サイトは、すでに対策を講じたとしている。セキュリティー研究者らは８日朝、このバグを使ってヤフーメールのログイン情報を盗むデモを行ったが、ヤフーはその後、提供する主要サービス全体について対策を講じた。

しかし、これは主要サイトだけの問題ではない。より小規模のオンラインストア・サービスもＯｐｅｎＳＳＬを利用しており、これらのサイトが必要な対策を講じるには、より長い時間を要する可能性がある。また通常、各ウェブサイトはＯｐｅｎＳＳＬを利用しているか否かは公表していないため、消費者側の対応にも困難が予想される。

ユーザーは、利用しているウェブサイトのパスワードを変更すべきだが、変更するのはそのサイトがハートブリードへの対策を講じたことを確認した後だ。

もし、そのサイトがまだ対策を講じていない場合は、パスワードを変更しても、新たなパスワードが盗まれる恐れもある。また今後、多くのサイトが、顧客に対し、必要であればパスワードを変更するよう指示するメールを送るなどの対応を迫られるだろう。