セキュリティの研究者たちがHeartbleedバグにおびえたのも、当然だ。特効薬がないからだ。一部の人たちが躍起になって、多くのシステムにパッチを当てても、インターネット全体の中では、無対応の部分が圧倒的に多いだろう。
そしてやっぱり、Heartbleedは健在だった。
(Heartbleedを知らなかった人は、ここで勉強してください。)
まず、良いニュースから: Heartbleedが発見された当初、セキュリティ企業Errataは60万あまりの罹患サーバを見つけた。その一か月後には、メジャーなサイトとホストの多くが大急ぎでパッチを当てたため、患者は31万8239、半分近くにまで減った。
悪いニュース: 針は止まったままだ。Heartbleedの発見から75日後にErrataのスキャンは、30万9197台の無手当サーバを見つけた。1か月前(31万8239)と、ほとんど変わっていない。
ほとんど横ばいだ。
つまり、攻撃のターゲットになりやすい上位1000ぐらいの人気サイトは健康体になったが、大量の小規模サイトはまだ病人だ。2か月後のパッチ適用率の低さを見るかぎり、最初に大騒ぎされたこのバグは、徐々に忘れられてしまったのだ。
では、ユーザは何をすべきか? いちばんよいのは、Heartbleed対策のパッチを当てたと宣言していない、古い、メンテナンスの悪いサイトには、近づかないことだ。さらに重要なのは、同じパスワードをあちこちで使いまわさず、サイトごとに違うパスワードを使うこと。そうすれば、メンテナーのいない空き家のようなフォーラムにアクセスしてパスワードを盗まれても、ほかのアカウントは無事だ。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
