独立行政法人 情報処理推進機構(IPA)は2014年4月16日、OpenSSLの「heartbeat」拡張において情報漏洩の脆弱性が発見された問題(通称:Heartbleed脆弱性)について、インターネットの一般ユーザー(OpenSSLが実装されたWebサイト/サービスの利用者)側での対処のしかたについてまとめたWebページを公開した。
公開されたWebページは「OpenSSLの脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について」。IPAは、SSL暗号化方式がECサイトやオンライン金融取引など、世界中の広範なサイト/サービスで用いられている点を説明。そのうえで、今回発見されたOpenSSLのHeartbleed脆弱性を悪用したサイバー攻撃が具体的にどのような被害をネットユーザーにもたらすのかについて図解で解説している。
IPAが挙げる、インターネットユーザー側での対処方法は、(1)Webサイトの対応状況を確認する、(2)Webブラウザの設定で、証明書の失効確認を有効にする、(3)パスワードの変更など、Webサイト運営者からの指示に従う、の3ステップとなっている(各ステップの詳細な説明はIPAのWebページを参照されたい)。
特に注意すべきは、利用しているWebサイト/サービスのパスワードの変更についてである。IPAは、Webサイトに脆弱性が残ったままパスワードを変更しても、変更後のパスワードを盗まれる可能性が残ることを指摘し、Webサイト側で脆弱性対策が完了したことを、Webサイト運営者からの「お知らせ」「告知」などで確認した後に行うように呼びかけている。
IPAは、Heartbleed脆弱性に関する今後の動向から追記・改訂すべき情報が発生した場合に、都度同ページを更新する予定だとしている。
