Yahooは、このバグへの脆弱性があったウェブサイトの中で最大のものだったように思える(予備的テストでは、FacebookやGoogle、Twitterのウェブサイトは安全だったようだ)。Yahooは、「Yahoo Homepage」「Search」「Mail」「Finance」「Sports」「Food」「Tech」「Flickr」「Tumblr」といった同社の主要な資産に対して「適切な修正を行うことに成功した」としている。しかしYahooの広報担当者は、引き続き残りのYahooサイトへの対応を進めていると語った。
セキュリティ調査会社AlienVault LabsのディレクターであるJaime Blasco氏は、次のように述べている。「影響を受けた(Yahooや)ほかのサービスへのログインを控えるようユーザーに勧めている。そうしたサービスを使うと、認証情報が漏れる可能性があるからだ。Yahooが問題を解決したらすぐに、念のためパスワードを変更したほうが良いだろう」
Yahooは、ユーザーの好みに合わせたエクスペリエンスを提供できるように、最新の認証方式に力を入れてきた。そうしたエクスペリエンスの提供は、最高経営責任者(CEO)のMarissa Mayer氏が同社を引き継いだほぼ直後から派手に宣伝してきたことだ。Yahooは電子メールやファンタジースポーツなどのサービスで、アプリケーションへのアクセスにパスワードを要求している。
同社はセキュリティの分野では以前からいくつか問題を抱えていた。1月には、サードパーティーのデータベースに対する攻撃が試みられたため、一部の電子メールユーザーのパスワードをリセットしなければならなかった。Heartbleedバグの発表を受けて、すでに一部ユーザーがTwitter上で怒りをあらわにしている。アーカンソー州ロイヤルのBrandon Oxford氏は、「このことがあって、私はYahooの電子メールサービスを使うのを正式にやめた。今、Gmailを設定したところだ。Yahooよりも優れているように思える」と書いている。
影響を受けたとされるほかの企業もコメントを発表している。Redditユーザーに人気がある写真共有サイトのImgurは、次のように述べた。「(われわれは)クッキーやセッションIDなど、慎重な扱いを要するデータを、安全を期して無効にした。慎重に対応を進めている。この攻撃は、その性質上、検知するのが難しいからだ。しかしその攻撃がImgurに対して行われたと考える理由はない」。OKCupidは、「OKCupidでは修正が完全に適用された」としている。
このような出来事の直後に浮かび上がる疑問は、ウェブ企業が自社のセキュリティ慣行を改めるだろうか、ということだ。大手ウェブ企業の多くは、Perfect Forward Secrecy(PFS)に移行しているが、すべての大手ウェブ企業が導入しているわけではない。PFSを導入すると、基本的には、暗号鍵の有効期間が非常に短く、永久に使われることがなくなる。「人々は、自分たちの通信ができるだけ安全であってほしいと考えるはずだ。PFSは、将来的に推進できる対策の1つだ」(Miller氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
「もったいない」という気持ちを原動力に
地場企業とともに拓く食の未来