と言うニュースが、割と世界を震撼させています。
http://www.itmedia.co.jp/enterprise/articles/1301/08/news029.html

まずは落ち着いて、

http://security.slashdot.jp/comments.pl?sid=589797&cid=2303084

あたりの情報を確認して然るべき措置をとりましょう。

まぁ、簡単にまとめると、
・パソコン系とiOS/WindowsPhoneは次の例外を除いてほっとけば対応されるor対応済み
・WindowsXPのIEは手動でWindowsUpdateする必要があり。
・Android4.xは手作業で対応する必要がある。
・それ以外のAndroidは携帯会社が対応しないと、どうしようも無い。
といった感じ。

さて、今回の問題は何かというと、
ウェブサイトなどの正当性を確認したり、暗号化通信をするための「証明書」と言うものがあるのだけれど、
その「証明書」を発行する権限を、うっかり、トルコの認証局が第三者に発行しちゃったと言うのが問題。

つまり、カード会社のWebにアクセスしているつもりが、
攻撃者のWebサイトにアクセスしていると、それを検知できる仕組みがあるけど、
攻撃者のWebサイトが正しいWebサイトとの見分けがつかなくなってしまうという問題。

証明書について、もう少し深く説明すると、

1,ある、サイトAが間違いなくサイトAであると証明するために、サイトAは証明書Aを持っています。
→でも、「これが俺の証明書だ!俺が発行したんだから間違いない!」と言われても困るので、
2,その証明書Aには、別の機関Bが署名Bをします。
3,署名Bをするためには証明書Bが必要。
4,証明書Bは、さらに別の機関Cが署名Cをしています
5,署名Cをするためには証明書Cが必要。

・・・と、どんどんたらい回しにされると困るので、
ブラウザには「機関Cの署名はこういう物である」という情報が予めセットされていて、
ブラウザが知っている署名と、4の署名が一致していれば、芋づる式に証明書Aは正当であると判断できるという寸法です。

で、今回の問題は、トルコの認証局(上記で言うと機関C)が証明書Bをうっかり、第三者に発行してしまったと言う問題。

ただ、日本国内でトルコの認証局が署名した証明書を使っているサイトを閲覧することはまず無く、
大抵、国内だと、セコムとかベリサインといた認証局の署名がされた証明書が使われるため
Andorid4.x等では、トルコの当該認証局をブラウザから消してしまえ!

というのが、前述のサイトの対応方法です。

というわけで、対応しなければならい人はちゃんと対応しましょう。