先週発見されたOpenSSLのHeartBeat拡張の実装に見つかったセキュリティホールの影響範囲が非常に広く、現在対応中の方もいらっしゃるかもしれません。そんな記事へのリンクをちょっとまとめてみました：

• ＯｐｅｎＳＳＬに脆弱性、バグは２年前から存在 – CNN.co.jp
• ニュース – OpenSSLに情報漏えいの危険がある脆弱性、JPCERT/CCが注意喚起 – ITpro
• 「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性 – INTERNET Watch
• ネット史上最大級のバグ発見。カナダは確定申告を緊急停止、危険度は10段階の11？ – ギズモード・ジャパン
• MicrosoftサービスはHeartbleedの影響を受けない – マイクロソフト発表 – マイナビニュース
• Google、Facebookも。Heartbleedでパスワード変更推奨のサイト一覧 – ギズモード・ジャパン
• ネットエージェント、Heartbleed脆弱性をチェックするサービスを無償公開 – マイナビニュース
• チェック方法まとめ：OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 – ＠IT
• OpenSSL脆弱性にベンダーが状況公開、影響システムを探る動きも – ITmedia エンタープライズ
• OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 – INTERNET Watch
• How To：「Heartbleed」から身を守るには–セキュリティ専門家に聞く – CNET Japan
• OpenSSLの“出血バグ”を抱えているサイト、「.jp」ではHTTPSサイトの45％ – INTERNET Watch
• OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 – INTERNET Watch
• Heartbleed情報アップデート：国内でもHeartbleedを狙うパケットの増加を観測 – ＠IT

IT技術者ではない方は最初のCNN.co.jpの記事をご覧になるとわかりやすいかと思います。この記事の2ページ目から少し引用します：

このバグが特に問題なのは、単純な解決策がないことだ。危険にさらされたサイトと、そのサイトを訪れたことがあるユーザーの双方が対策を講じる必要がある。

このように、セキュリティホールをふさぐ作業のほかに、そのサイトのサービスを使用していた利用者側での対応も必要となるのが今回の脆弱性です。サイト側でセキュリティホールに対する修正対応が終わったあとに、利用者側では必要に応じてパスワードなどの変更などを行う必要があります。

今回の問題はサーバー側で使用しているソフトウェアの種類とバージョンによって異なる上、内部の構造や設定にも影響を受けるため、パスワードの変更が必要かどうかはそのサービスの運営元のアナウンスを確認することが必要です。また、運営元はこの件の情報公開を積極的に行うべきでしょう。

OpenSSHもOpenSSLを使用しているため、httpsを提供していないサイトでもOpenSSHを使用している場合には関係があることがあるので、確認を欠かさないようにしないといけません。