常時SSLが引き起こす新たな問題

2017年2月27日

ニュースソース:RSA Conference
以下の文章は、2017年2月15日に行われたRSA Conference2017で、Entrust DatacardのKirk Hall氏により発表された100% Encrypted Web New Challenges for TLSの一部を要約したものです。


米国では全Webサイトの50%がhttpsプロトコルを使うようになっていますが、これが新しい犯罪の温床となっています。

マルウェアの攻撃は、https利用サイトに移行しています。httpsを使用すると、マルウェアを完全に隠すことができます。
今年のサイバー攻撃のほぼ半分は、検出を回避するために暗号化されたトラフィックに隠されたマルウェアを使用しています。
SSL暗号化はハッカーからデータトラフィックを隠すだけでなく、皮肉なことに一般的なセキュリティツールからもデータトラフィックを隠すことになってしまっています。
一方、認証局は、わずか1ヶ月で、フィッシング攻撃に使用される不正なドメイン名に対し、何百ものSSLサーバ証明書を発行しました。
その結果、SSLサーバ証明書がフィッシング詐欺サイトに信用を供与し、被害を拡大する手助けを行う結果となっています。

SSLサーバ証明書には、認証局が保証する範囲によってドメイン認証(DV)、組織認証(OV)、拡張認証(EV)の3段階があります。
犯罪行為に利用される証明書は、機械的検証によりドメイン名の有効性だけを保証する「ドメイン認証(DV)」です。
組織の実在を保証する組織認証(OV)証明書や、より厳しく証明書利用者をチェックする拡張認証(EV)証明書が犯罪に利用されることは非常にまれです。

問題は、グリーンの文字で運営組織名が表示される拡張認証(EV)証明書の場合を除くと、ブラウザの表示ではどの証明書が利用されているかが判別できないことです。
安全性に大きな差があるドメイン認証(DV)証明書と組織認証(OV)証明書は、ブラウザの表示では一般のサイトユーザーには区別できません。

ブラウザがhttpプロトコルとhttpsプロトコルの違いだけでなく、サイトがどの認証タイプのSSLサーバ証明書を利用しているのかを一目でわかるようにするWebsite Identityが今後の重要な課題です。