続OpenSSL祭り - 現在の状況は多分こんな感じ

昨日ブログを書きあげた後で素晴らしいまとめ記事を見つけました。

http://d.hatena.ne.jp/nekoruri/20140408/heartbleed

もうHeartbleedに関してはこれだけ読んでおけば良いんじゃないかと。(^^;

昨日書いた自分の理解はおおむね合ってたようですねぇ。。(^^v
ハッハッハッハッ。。。最悪です。

特に攻撃を受けた側が、攻撃されたかどうかを判断する術がないというあたりがいかんともしがたい。(--

技術情報に関しては上記でもう十分な気がしますが、イマイチ世間(非IT含む)に今回の件の深刻さが伝わってない気がするのでちょっとたとえ話をしてみたいと思います。
若干大袈裟な表現と感じるところがあるかもしれませんが、それはワザとです。
不安になったら自力で調べてみてください。

あなたは自分の大切なモノを保管するために部屋を借りました。その部屋には世界で一番売れている錠前が付いているので安心です。(^^v

ところが！

その錠前には必殺のピッキング技があって全ての錠前を鍵なしで開けることが可能だったのです。ナニ―(+o+)

あなたはあわてて錠前屋を呼んでピッキング対策をを行ったので、現在ではそのピッキング技は使えません。しかし、そのピッキング技が有効だった期間は約2年あります。。。

なにしろ世界中で使われている錠前だったのでもう世界中大パニックです。今のところ実際に被害があったという話は聞かれませんが、今まで安全と信じていたものが実はそうではなかったということが問題です。

あなたは改めて部屋を見渡してみます。どこにも侵入者があった形跡はありません。しかし部屋の中にはマスターキーもあるので、侵入者がそれを持ち出して合鍵を作った可能性は否定できません。

さて、あなたは錠前を交換するべきでしょうか。。。。

。。。というのが、現在の状況であるというのが僕の認識です。

その部屋が自分のものしか置いていない場所であれば、鍵を取り変えないという選択もあるかもしれません。実際のところ本当に侵入者があって鍵を持ち出した可能性というのは極めて低いだろうとも思います。

では、これが自分の部屋ではなく貸倉庫のような場所だったとしたらどうでしょうか？

あなたは貸倉庫を運営していてお客に保管スペースを提供しています。その部屋には世界で一番売れている錠前が付いているので安心です。(^^v

ところが！

(以下同文)

さて、あなたはこの倉庫の錠前を交換するべきでしょうか。。。。

いかがでしょう？普通の感覚であれば鍵が交換されない限りこの倉庫を使おうとは誰も思わないんじゃないでしょうか。。。僕の感覚では鍵を交換しないという選択肢はありません。

さらに付け加えるとすぐにピッキング対策を行ったあなたはまだ良心的な方で、実際にはピッキング対策を行わないままその錠前を使い続けている人が山ほどいるのです。。

。。。あー、書いててまた憂鬱になってきた。。。(--

実際のところ自分の使っている銀行やクレカのサイトでは現時点でこの問題に対して何のアナウンスも出ていないので、そろそろ「お前らのところは本当に大丈夫なのか？！」と問い合わせようかと思っているところです。(このブログのURLつけて)

ちなみにMoneyTreeという銀行口座のまとめサービスは現在サービスを停止しています。
お金を扱うサービスではこれ位の配慮は欲しいですよね。(他人事ではないのですが。。。)

もう本当に世の中のすべてのサイトでHeartbleed対応がどうなっているのかを明記してほしいですわ。。。(--

ところでCA(ここでいう錠前屋)は証明書(鍵)の無償交換に応じているところが多いようですが、あんたの所のリクエストフォームはHeartbleed対応されているの？っていうこともとても気になります。。。(--