株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

「常時SSL化」時代に向けたセキュリティ対策指南書

4. 「常時SSL化」普及による新たな問題

Webサイトの信頼性を検証でき、通信データを保護し、データの改変を防ぐSSLは、いまや80%のWeb通信が暗号化されるまでに普及しました。しかし、SSLの普及は新たな課題を生じさせています。

以前は、Webページからフォームなどを用いてサーバーへ情報を送信する際、入力された情報を保護する必要がある場合にのみSSLによる暗号化処理を施していました。しかし現在では、入力の有無にかかわらずWebサイト全体のアクセスにSSLを有効にする「常時SSL化」が進んでいます。

SSL化を有効にする範囲の違い

図3 SSL化を有効にする範囲の違い

SSL化とセキュリティ対策製品

セキュリティ対策で活用されるソリューションの多くは、通信内容を分析することでサイバー攻撃を検知しているため、SSLにより通信内容が暗号化された状況では、セキュリティ対策製品は機能しません。
セキュリティ対策製品の存在意義は、サイバー攻撃の有無について、検知・検証・軽減・防御を行うことにあります。つまり、セキュリティ対策製品は、通信の始まりから終わりまでのやり取りの内容を把握して初めて機能するものですが、常時SSL化が提供する情報の秘匿化は、セキュリティ対策製品に対しても情報を開示しない、諸刃の剣となります。

暗号化されていない通信の場合、次の図のように、Webブラウザで正規Webサイトの閲覧をしたり、Webコンテンツが送り返される内容を正確に分析することができ、不正なコンテンツがあれば防御することが可能です。

暗号化を行っていないWebアクセス時の挙動

暗号化を行っていないWebアクセス時の挙動

図4 暗号化を行っていないWebアクセス時の挙動

通信暗号化状態ではマルウェアの検知が困難

常時SSL化が行われたWebサーバーとの通信においては、セキュリティ対策製品の防御は悪影響を受け、企業が侵入検知システムやネットワーク経路上のウイルス対策製品、情報漏えい対策製品を導入していたとしても、暗号化されたWebサーバーからマルウェアが送り込まれたり、Webサーバーに機密情報が窃取されても、検知することは困難になります。

通信が暗号化された状態ではWebサーバーからマルウェアが送られても検知が困難

図5 通信が暗号化された状態ではWebサーバーからマルウェアが送られても検知が困難

通信暗号化状態では遠隔操作ウイルスも検知が困難

ラックが運営するサイバー救急センター®が対応した事案においては、遠隔操作されたマルウェアのコントロールに使用される「指令サーバー」は、実際に存在する企業が運営する正規のWebサーバーに不正侵入し悪用されているケースが確認されており、SSLにより暗号化されていたために発見が遅れてしまったケースがあります。例えば、多くの方がコンテンツを共有するブログやデータ共有サイトが指令サーバーとして悪用された場合、常時SSL化の影響により通信内容の分析が機能しないことが懸念されます。

通信が暗号化された状態では遠隔操作ウイルスなどのサイバー攻撃も検知が困難

図6 通信が暗号化された状態では遠隔操作ウイルスなどのサイバー攻撃も検知が困難

不正サイトは日々発生している

今やWebサイトを悪用したサイバー攻撃は日常的に行われており、Google社の調査では毎日数万件の不正なWebサイトが発見されています。
図7では、2018年にマルウェアを配布しているWebサイトの発生件数(青いグラフ)は減少していますが、フィッシングサイトの発生件数(赤いグラフ)が増加していることが読み取れます。

Google社による不正サイトの発生件数の推移グラフ

図7 Google社による不正サイトの発生件数の推移グラフ*6

また、今現在動作を続けている危険なWebサイトの統計情報も公開されており、マルウェアの配布サイトの生存件数は急速に減少していますが、逆にフィッシングサイトは急増しており、Webを用いたサイバー攻撃は引き続き危険な状況にあります。

不正サイトもSSLを採用している

PhishLabs社が自社のブログで49%のフィッシングサイトがSSLを使用している*7 、と述べているようにSSLはフィッシングサイトを信頼させるために悪用されている深刻な状況となっています。

Google社による不正サイトの生存件数の推移グラフ

図8 Google社による不正サイトの生存件数の推移グラフ*6

これらサイバー攻撃を仕掛ける危険なWebサイトは、攻撃者が用意したサイバー攻撃専用のWebサイトと、企業などが運営する正規のWebサイトを改ざんして悪用する例があり、圧倒的に正規のサイトが侵害されて、サイバー攻撃に悪用されている事例が目立ちます。
SSLが有効なWebサイトにアクセスした場合、信頼できる認証局が発行した証明書を持ったWebサイトかどうかは、利用者が判断することができるという点で、フィッシングサイト対策に効果があるとも言えます。しかし、正規のサイトに寄生するフィッシングサイトに対しては、証明書の確認だけでは不正か否かの判断が困難になります。

Google社による不正使用されている正規なサイトのグラフ

図9 Google社による不正使用されている正規なサイトのグラフ*6

不正サイトに対するGoogleの取り組み

Googleは、フィッシングサイトや、サイバー攻撃により改ざんされたWebサーバーにユーザーを誘導しないよう、「セーフブラウジングテクノロジー(Safe Browsing)」を用いてウェブの安全性を高める取り組みをしており、コンテンツのインデックス作成のタイミングで不正と考えられるサイトも同時に発見し、検索結果に表示されたリンクをクリックする際にアクセスを思いとどまらせるメッセージを表示する機能を提供しています。もちろん、攻撃者自らが構築したWebサイトに関しては、検索エンジンに発見されないように構築することで、検出を避けるなど対策を行っていますので、この場合「セーフブラウジングテクノロジー」は効果を発揮しません。さらに特定の企業からのアクセス時のみサイバー攻撃を行う「水飲み場型攻撃」のような手法が取られた場合にも、「セーフブラウジングテクノロジー」は効果を発揮しません。

このようにサイバー攻撃を仕掛けるWebサイトは膨大な数に上り、常時SSL化はサイバー攻撃の事実を見えなくしてしまうリスクにつながっています。


サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top