と呼ばれる暗号化の欠陥ハートブリードバグすでに、インターネットがこれまでに経験した最大のセキュリティ脅威の 1 つと呼ばれています。このバグは、Gmail や Facebook など、多くの人気のある Web サイトやサービスに影響を及ぼしており、過去 2 年間に機密アカウント情報 (パスワードやクレジット カード番号など) が密かに漏洩した可能性があります。
しかし、どのサイトが影響を受けたかは必ずしも明らかではありません。 Mashable は、Web 上で最も人気のあるソーシャル、電子メール、銀行、コマース サイトのいくつかに手を差し伸べました。彼らの回答を以下にまとめました。
このバグの影響を受けやすい一部のインターネット企業は、問題を修正するためにセキュリティ パッチを適用してサーバーをすでに更新しています。つまり、これらのサイトにアクセスしてパスワードをすぐに変更する必要があります。それさえもあなたの情報がすでに侵害されていないという保証はありません、しかし、ハッカーが今週以前にこのエクスプロイトについて知っていたという兆候もありません。顧客にパスワードを変更するようアドバイスしている企業は、予防策としてパスワードを変更しているのです。
パスワードを定期的に変更することは常に良い習慣ですが、サイトやサービスがまだ問題にパッチを当てていない場合、情報は依然として脆弱なままです。
また、複数のサイトで同じパスワードを再利用しており、それらのサイトの 1 つが脆弱だった場合は、すべてのサイトでパスワードを変更する必要があります。いずれにしても、複数のサイトで同じパスワードを使用するのは得策ではありません。
新しい情報が入り次第、リストを更新し続けます。 最終更新: 4 月 19 日午前 11:00 (東部標準時間)
td {背景色:白; }
ソーシャルネットワーク
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
フェイスブック
不明瞭
はい
はい はい
「この問題が公になる前に、Facebook の OpenSSL 実装に対する保護を追加しました。不審なアカウント活動の兆候は検出されていませんが、...固有のパスワードを設定することをお勧めします。」
インスタグラム
はい
はい
はい はい
「当社のセキュリティチームは迅速に修正に取り組み、アカウントが被害を受けたという証拠はありません。しかし、このイベントはウェブ上の多くのサービスに影響を与えたため、特に同じパスワードを使用している場合は、Instagram や他のサイトでパスワードを更新することをお勧めします」複数のサイトで。」
リンクトイン
いいえ
いいえ
いいえ
「私たちは、www.linkedin.com や www.slideshare.net で OpenSSL の問題となる実装を使用していません。その結果、HeartBleed はこれらの Web プロパティにリスクをもたらすことはありません。」
ピンタレスト
はい
はい
はい はい
「Pinterest.com の問題を修正しましたが、いたずらの証拠は見つかりませんでした。細心の注意を払うために、影響を受けた可能性のあるピナーに電子メールを送信し、パスワードを変更するよう促しました。」
タンブラー
はい
はい
はい はい
「侵害の証拠はなく、ほとんどのネットワークと同様に、私たちのチームは問題を解決するために直ちに行動を起こしました。」
ツイッター
いいえ
はい
不明瞭
ツイッター書きましたOpenSSL は「インターネットや Twitter で広く使用されています。[当社の] サーバーはこの脆弱性の影響を受けていないと判断できました。引き続き状況を監視しています。」 Twitterは影響を受けないと繰り返しながらも、パッチは適用したとMashableに語った。
他の会社
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
りんご
いいえ
いいえ
いいえ
「iOS と OS X には脆弱なソフトウェアが組み込まれておらず、主要な Web ベースのサービスは影響を受けませんでした。」
アマゾン
いいえ
いいえ
いいえ
「Amazon.comは影響を受けません。」
グーグル
はい
はい
はい はい*
「私たちはSSLの脆弱性を評価し、主要なGoogleサービスにパッチを適用しました。」検索、Gmail、YouTube、ウォレット、Play、アプリ、App Engine が影響を受けました。 Google Chrome と Chrome OS はそうではありませんでした。
*グーグル言ったユーザーはパスワードを変更する必要はありませんが、以前の脆弱性があるため、残念よりも安全である方がよいでしょう。
マイクロソフト
いいえ
いいえ
いいえ
LastPass によると、Microsoft サービスは OpenSSL を実行していませんでした。
ヤフー
はい
はい
はい はい
「この問題を認識するとすぐに、私たちは修正に取り組み始めました...そして現在、残りのサイト全体に修正を実装するために取り組んでいます。」 Yahoo Homepage、Yahoo Search、Yahoo Mail、Yahoo Finance、Yahoo Sports、Yahoo Food、Yahoo Tech、Flickr、Tumblr にはパッチが適用されました。 Yahooによれば、今後さらにパッチが登場するという。
電子メール
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
AOL
いいえ
いいえ
いいえ
AOLはMashableに対し、脆弱性のあるバージョンのソフトウェアは実行していないと述べた。
Gメール
はい
はい
はい はい*
「私たちはSSLの脆弱性を評価し、主要なGoogleサービスにパッチを適用しました。」
*グーグル言ったユーザーはパスワードを変更する必要はありませんが、以前の脆弱性があるため、残念よりも安全である方がよいでしょう。
ホットメール / Outlook
いいえ
いいえ
いいえ
LastPass によると、Microsoft サービスは OpenSSL を実行していませんでした。
ヤフーメール
はい
はい
はい はい
「この問題を認識するとすぐに、私たちは修正に取り組み始めました...そして現在、残りのサイト全体に修正を実装するために取り組んでいます。」
店舗と商業
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
アマゾン
いいえ
いいえ
いいえ
「Amazon.comは影響を受けません。」
アマゾン ウェブ サービス(Webサイト運営者向け)
はい
はい
はい はい
ほとんどのサービスは影響を受けていないか、Amazon はすでに緩和策を適用できていました (ここのアドバイザリーノートを参照してください)。 Elastic Load Balancing、Amazon EC2、Amazon Linux AMI、Red Hat Enterprise Linux、Ubuntu、AWS OpsWorks、AWS Elastic Beanstalk、Amazon CloudFront にパッチが適用されました。
eBay
いいえ
いいえ
いいえ
「eBay.com は、OpenSSL の脆弱なバージョンを実行したことがなかったため、このバグの影響を受けることはありませんでした。」
Etsy
はい*
はい
はい はい
Etsy言ったインフラストラクチャのごく一部だけが脆弱だったため、パッチを適用しました。
ゴーダディ
はい
はい
はい はい
「影響を受ける OpenSSL バージョンを使用する GoDaddy サービスを更新しています。」声明全文
グルーポン
いいえ
いいえ
いいえ
「Groupon.com は、Heartbleed バグの影響を受けやすいバージョンの OpenSSL ライブラリを利用していません。」
ノードストローム
いいえ
いいえ
いいえ
「Nordstrom Web サイトでは OpenSSL 暗号化を使用していません。」
ペイパル
いいえ
いいえ
いいえ
「あなたの PayPal アカウントの詳細は過去に公開されておらず、安全に保たれています。」声明全文
ターゲット
いいえ
いいえ
いいえ
「[私たちは] Target.com の外部に面するすべての側面の包括的なレビューを開始しました...そして現在、当社のサイトの外部に面する側面が OpenSSL の脆弱性の影響を受けるとは考えていません。」
ウォルマート
いいえ
いいえ
いいえ
「私たちはそのテクノロジーを使用していないため、この特定の侵害による影響は受けていません。」
ビデオ、写真、ゲーム、エンターテイメント
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
フリッカー
はい
はい
はい はい
「この問題を認識するとすぐに、私たちは修正に取り組み始めました...そして現在、残りのサイト全体に修正を実装するために取り組んでいます。」
Hulu
いいえ
いいえ
いいえ
コメントはありません。
マインクラフト
はい
はい
はい はい
「すべてのサービスを一時的に停止することを余儀なくされました。...エクスプロイトは修正されました。あなたの情報が侵害されていないことを保証することはできません。」詳細情報
パンドラ
いいえ
いいえ
いいえ
コメントはありません。
Netflix
はい
はい
はい はい
「多くの企業と同様に、当社は脆弱性を評価して対処するために直ちに措置を講じました。顧客への影響については認識していません。パスワードを時々変更することは良い習慣ですが、今が変更を検討する良い機会です。」 」
サウンドクラウド
はい
はい
はい はい
SoundCloudは、不正行為の兆候はなく、同社の行動は単に予防的なものであると強調した。
YouTube
はい
はい
はい はい*
「私たちはSSLの脆弱性を評価し、主要なGoogleサービスにパッチを適用しました。」
*グーグル言ったユーザーはパスワードを変更する必要はありませんが、以前の脆弱性があるため、残念よりも安全である方がよいでしょう。
金融
私たちが連絡を取ったすべての銀行(以下を参照)は、Heartbleed の影響を受けていないと述べましたが、米国の規制当局は警告した銀行はシステムにパッチを適用します。
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
アメリカン・エキスプレス
いいえ
いいえ
いいえ
「顧客データの漏洩はありませんでした。現時点では顧客に特別な措置を講じるよう要求していませんが、インターネット パスワードを定期的に更新することはセキュリティ上の良い習慣です。」
アメリカンファンド
はい
はい
はい はい
アメリカンファンド顧客に言った同社は「2013年12月12日から2014年4月14日までの間にamericanfunds.comにログインした人に対するリスクが非常に狭い範囲にあることを知った」ため、ユーザー名とパスワードを変更するよう求めた。
バンク・オブ・アメリカ
いいえ
いいえ
いいえ
「当社のプラットフォームの大部分は OpenSSL を使用していませんが、使用しているプラットフォームには脆弱性が存在しないことを確認しています。」
バークレイズ
いいえ
いいえ
いいえ
コメントはありません。
キャピタルワン
いいえ
いいえ
いいえ
「Capital One は、Heartbleed に対して脆弱ではないバージョンの暗号化を使用しています。」
追跡
いいえ
いいえ
いいえ
「これらのサイトは、Heartbleed バグの影響を受ける暗号化ソフトウェアを使用していません。」
シティグループ
いいえ
いいえ
いいえ
シティグループは「顧客向けの小売銀行業務、クレジット カード サイト、およびモバイル アプリ」ではオープン SSL を使用していません
E*トレード
いいえ
いいえ
いいえ
E*Trade はまだ調査中です。
忠実度
いいえ
いいえ
いいえ
「当社では、顧客のサイトとサービスを保護するために複数のセキュリティ層を導入しています。」
PNC
いいえ
いいえ
いいえ
「私たちはオンライン バンキング システムとモバイル バンキング システムをテストし、Heartbleed バグに対して脆弱ではないことを確認しました。」
シュワブ
いいえ
いいえ
いいえ
「これまでの取り組みでは、Schwab.com や当社のオンライン チャネルではこの脆弱性は検出されていません。」
スコットトレード
いいえ
いいえ
いいえ
「Scottrade は、当社のクライアント向けプラットフォームのいずれにおいても、影響を受けるバージョンの OpenSSL を使用していません。」
TD アメリトレード
いいえ
いいえ
いいえ
TD Ameritrade は「脆弱性のあるバージョンの openSSL は使用していません。」
TD銀行
いいえ
いいえ
いいえ
「当社は現在、この脅威から顧客データを保護するための予防措置を講じており、過去に顧客データが侵害されたと信じる理由はありません。」
T・ロウ・プライス
いいえ
いいえ
いいえ
「T. Rowe Price の Web サイトは、SSL バグ「Heartbleed」に対して脆弱ではなく、過去にも脆弱ではありませんでした。」
米国銀行
いいえ
いいえ
いいえ
「当社は顧客向けのインターネット バンキング チャネルに OpenSSL を使用していないため、US Bank の顧客データが危険にさらされることはありません。」
ヴァンガード
いいえ
いいえ
いいえ
「私たちはOpenSSLの脆弱なバージョンを使用しておらず、使用したこともありません。」
ヴェンモ
はい
はい
はい はい
Venmoはユーザーに電子メールを送り、同社が「潜在的な脆弱性にパッチを当てるために直ちに措置を講じた」と述べ、パスワードを変更するよう推奨した。
ウェルズ・ファーゴ
いいえ
いいえ
いいえ
理由は示されていません。
政府と税金
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
1040.com
いいえ
いいえ
いいえ
「私たちは OpenSSL を使用していないため、Heartbleed バグに対して脆弱ではありません。」
FileYourTaxes.com
いいえ
いいえ
いいえ
「私たちはサーバーを常に最新の状態に保つために継続的にパッチを適用しています。しかし、私たちが使用しているバージョンは問題の影響を受けていなかったため、措置は講じられませんでした。」
H&Rブロック
いいえ
いいえ
いいえ
「当社はシステムを見直しており、現時点ではこの問題による顧客データへのリスクは見つかっていません。」
ヘルスケア.gov
不明瞭
はい
はい はい
Healthcare.gov は当初 Mashable に対し、「消費者アカウントはこの脆弱性の影響を受けない」と語った。しかし、彼らはその後、投稿されました, 「当社は細心の注意を払って、Heartbleedの問題に対処し、消費者のパスワードをリセットする措置を講じました。」
Intuit (TurboTax)
いいえ
いいえ
いいえ
ターボタックス書きました「エンジニアはTurboTaxがHeartbleedの影響を受けないことを確認しました。」同社はいずれにしても新しい証明書を発行しており、ユーザーにパスワードを変更するよう「積極的にアドバイス」していないと述べた。
IRS
いいえ
いいえ
いいえ
「IRS は引き続き通常どおり納税申告書を受け付けており、システムは動作し続けており、このバグの影響を受けません。私たちはこの状況に関連するセキュリティ上の脆弱性を認識していません。」
税法
いいえ
いいえ
いいえ
「顧客はいつでもパスワードを更新できますが、現時点では積極的にそうするよう推奨していません。」
USAA
はい
はい
はい はい
USAA言った「データ侵害を防ぐための措置をすでに講じており、今週初めにパッチを実装した」と述べた。
他の
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
箱
はい
はい
はい はい
「当社は現在、顧客と協力して積極的にパスワードをリセットし、保護を強化するために新しい SSL 証明書を再発行しています。」
ドロップボックス
はい
はい
はい はい
の上ツイッター: 「すべてのユーザー向けサービスにパッチを適用しました。お客様のコンテンツが常に安全であることを確認するために引き続き取り組んでいきます。」
エバーノート
いいえ
いいえ
いいえ
「Evernote のサービス、Evernote アプリ、および Evernote Web サイトはすべて、ネットワーク通信を暗号化するために SSL/TLS の非 OpenSSL 実装を使用しています。」声明全文
GitHub
はい
はい
はい はい
GitHub言ったすべてのシステムにパッチを適用し、新しい SSL 証明書を導入し、古い証明書を取り消しました。 GitHubはすべてのユーザーに対し、パスワードを変更し、二要素認証を有効にし、「個人アクセスとアプリケーショントークンを取り消して再作成する」よう求めている。
イフト
はい
はい
はい はい
IFTTT はすべてのユーザーに電子メールを送信してログアウトし、サイトのパスワードを変更するよう促しました。
OKキューピッド
はい
はい
はい はい
「インターネットの大部分と同様に、私たちも、このような深刻なバグがこれほど長い間存在し、これほど広範囲に蔓延していたことに驚いています。」
Spark Networks (JDate、Christian Mingle)
いいえ
いいえ
いいえ
サイトでは OpenSSL を使用しません。
スパイダーオーク
はい
はい
いいえ
スパイダーオーク言った同社はサーバーにパッチを適用したが、デスクトップクライアントは脆弱なバージョンの OpenSSL を使用していないため、「顧客は特別な措置を講じる必要はない」という。
ウィキペディア(アカウントをお持ちの場合)
はい
はい
はい はい
「標準的な予防策としてパスワードを変更することをお勧めしますが、現時点ではすべてのユーザーにパスワード変更を強制するつもりはありません。」声明全文
ワードプレス
はい
はい
はい はい
ワードプレス確認済みHeartbleedに対して脆弱であり、「公開から数時間以内に」サーバーにパッチを適用したと述べた。 Wordpressはユーザーにパスワード変更を強制していないが、ユーザーが変更することは「歓迎」だと述べた。
ワンダーリスト
はい
はい
はい はい
「Wunderlist に再度ログインする必要があります。また、Wunderlist のパスワードをリセットすることを強くお勧めします。」声明全文
パスワードマネージャー
影響を受けましたか?
パッチはありますか?
パスワードを変更する必要がありますか?
彼らは何と言ったのでしょうか?
1パスワード
いいえ
いいえ
いいえ
1 で言われたパスワードブログ投稿そのテクノロジーは「一般に SSL/TLS に基づいて構築されておらず、特に OpenSSL に基づいて構築されていない」と述べています。したがって、ユーザーはマスターパスワードを変更する必要はありません。
ダッシュレーン
はい
はい
いいえ
ダッシュレーンはこう言ったブログ投稿ユーザーのアカウントは影響を受けず、マスター パスワードは送信されないため安全です。同サイトはサーバーとデータを同期する際にOpenSSLを使用しているが、Dashlaneはバグを修正し、新しいSSL証明書を発行し、以前の証明書を取り消したと述べた。
ラストパス
はい
はい
いいえ
「LastPass は OpenSSL を採用していますが、ユーザーを保護するために複数の暗号化層があり、それらの暗号化キーには決してアクセスできません。」ユーザーはマスター パスワードを変更する必要がありません。サーバーに送信されることはありません。ただし、LastPass に保存されている他のサイトのパスワードは変更する必要がある場合があります。
この記事に寄稿した記者には、サマンサ・マーフィー・ケリー、ロレンツォ・フランチェスキ=ビッキエライ、セス・フィーガーマン、アダリオ・ストレンジ、クルト・ワグナーが含まれます。
他にどのようなサイトが気になりますか?コメントでお知らせください。
ボーナス: ハートブリードバグとは何ですか?