インターネットの安全性を担っているSSL(一般にブラウザの鍵マークで有名)、その通信を担当するプログラムの1つである「OpenSSL」に、深刻な大穴が空いていた、というニュースはご存じでしょうか?
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 – @IT
最悪、上記記事の「秘密鍵やユーザーの情報など、サーバーのプロセス内の情報が全て読み取られてしまう可能性」、つまり簡単にいえば「通信の筒抜け状態」が起きてしまうということです。
幸い、OpenSSLの一部のバージョンだけのバグだったのですが、有名なプログラムですから利用しているサーバも多く、その影響範囲が非常に大きいということが問題になっています。
実際私のクライアントさんのサーバでも、いくつかはこのOpenSSL問題に絡むことがありました。
また、大手どころでは、さくらインターネットがこの件で下記のような注意喚起を出しています。
【重要】OpenSSL1.0.1に含まれる脆弱性について | さくらインターネット
一言でいえば、
「ウチでサーバ管理してるレンタルサーバ、マネージドサーバについては影響がない(ちゃんと管理してる)けど、さくらのVPS、クラウド、専用サーバ、ハウジングを契約してる人は自分で管理してね。」
ということですね。
(そのためユーザー側に管理者権限があるのですし。)
こう考えると、サーバ管理を自社でやることが本当に安全なのか、考え直さないといけないかもしれませんね。