まず、OpenSSLをインストールしているのか?そこから考えましょう。 OpenSSLのバグなら、OpenSSLを導入していない人が アップデートしてどうなるということがありません。

> すべてのデータが、流出する可能性があるように感じますが、違いますか？ > メモリ上に展開される恐れのある物すべてに。 その通りで、openSSLを利用しているプログラムのメモリ空間上の情報はすべて流出可能性があります。 ただ、メモリ空間上のデータ配置の関係で 秘密鍵を盗むのは比較的難易度が高いそうです。 [参考] “Heartbleed”で秘密鍵を盗むのは難易度高、攻撃活動も現状では少数 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20140416_644735.html より引用 | 攻撃の難易度という観点では、パスワードやクレジットカード番号の方は | 比較的簡単に窃取できるのに対し、秘密鍵はハードルが比較的高いという。 > 我々クライアントも何かアップデートをしました。 何かといわれても・・・何をアップデートしたのでしょうか？ 一般論としては、openSSLの脆弱性はサーバーだけのものでは無いので openSSLを使ったクライアントソフトウェアが存在した場合は 更新が必要になります。 というのも、今回Heartbleed脆弱性が見つかったHeartbeatという機能は サーバーからクライアントに対して使うこともできるので、 悪意を持ったサーバーからクライアントに対して使うことも可能です。 （ただ、クライアントを狙うのはサーバーを狙うのよりは難しくなりますが。） [参考] Android 4.1.1のリバースHeartbleed脆弱性 http://www.infoq.com/jp/news/2014/04/android_heartbleed より引用 | TLS heartbeatには対称性があるため， | クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性があるのだ。 | したがって，悪意を持ったサーバがパッチされていないクライアントに | 不正なheartbeatを送信することで，クライアントの重要なデータを取得されることも考えられる。