閉じる
閉じる
×
【コラム】もはやSSL(HTTPS)だけを確認しても安心ではないという話
2014-06-07 08:23
これまで、何度かSSLの緑色のバーを使っていれば偽物のサイトを見破れるということを何度かご紹介していました。
SSLを使った通信であることは、以下の画像のようにアドレスバーにSSLの緑色のバー(あるいは緑色のhttpsの文字)が表示されていることで確認できます。
画像は三菱東京UFJ銀行のログインページを引用
SSLは通信を暗号化するだけでなく、そのサイトが本物であることを証明することができます。
正しく運用されており、秘密鍵が漏洩しなければ、そのサイトが本物であることはほぼ間違いないといえます。
しかし、SSLが担保する安全性はそこまでです。
例えば、本物のサイトが何らかの形で改ざんされている場合など、本物のサイトを巧妙に利用した攻撃は、いくらSSLでも防ぐことはできないのです。
ここ最近になって本物のサイトを利用した攻撃が話題になってきました。
よくある事例をご紹介しましょう。
具体的な事例が確認されているわけではありませんが、想定される事例です。
ちなみに、お知らせページやメッセージ表示ページのような文言を表示するだけのページの場合、クエリ文字列で表示する文言を指定する簡易的な実装になっている場合が実際にあります。場合によってはHTMLタグを受け付ける危険な仕様になっている場合があり、そうでなかったとしても、悪意のあるサイトに誘導するために使用される恐れがあるため、URLのクエリ文字列で任意の文言を表示できるような仕様にするべきではありません。
特に最近はCDNを利用しているサイトも多く、CDN上のコンテンツを改ざんされるというケースも増えていくのかもしれません。
Heartbleed問題で話題になったOpenSSL。つい先日も新たな脆弱性が判明しました。
OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開
http://cloud.watch.impress.co.jp/docs/news/20140606_652157.html
このように最近はOpenSSLの比較的大きな脆弱性が次々と明らかになっており、バージョンアップを頻繁にしなければ脆弱性につけ込まれる可能性が高くなっています。
OpenSSLは保守性の低いソースコードであるともいわれており、元々問題が山のようにある可能性も高いのですが、本質的にSSLを支える基盤ソフトそのものの問題によりSSLの安全性が損なわれるという事例はどのソフトにでもあり得ることです。
その問題点を積極的に悪用した巧妙な手口の偽サイトや偽画面が増えているため、特に注意が必要だということです。SSLだからといって盲信するのではなく、ページの内容が怪しくないか等をしっかりとチェックする必要があるということです。しかし、専門家でさえ騙されてしまう巧妙なケースもあります。
では、どうすればいいのか。
完璧な対策は存在しません。
サービス提供者、利用者双方が、流行のフィッシング詐欺の手法やセキュリティの動向などをしっかりと把握しておき、騙されないように、騙しに使えないように心がけるようにしなければなりません。そして「自分は絶対に騙されない」という自信は捨てることです。加えて、口座に不正な入出金がないかどうか、こまめにチェックする必要もあるでしょう。
え?根本的な対策?
えー、アレですよ、アレ。
じ、人類(に類似するもの含む)が滅亡すれば、こんな事例は発生しなくなるんじゃないですかね?
というわけで、
そんじゃーね!
SSLを使った通信であることは、以下の画像のようにアドレスバーにSSLの緑色のバー(あるいは緑色のhttpsの文字)が表示されていることで確認できます。
画像は三菱東京UFJ銀行のログインページを引用
SSLは通信を暗号化するだけでなく、そのサイトが本物であることを証明することができます。
正しく運用されており、秘密鍵が漏洩しなければ、そのサイトが本物であることはほぼ間違いないといえます。
しかし、SSLが担保する安全性はそこまでです。
例えば、本物のサイトが何らかの形で改ざんされている場合など、本物のサイトを巧妙に利用した攻撃は、いくらSSLでも防ぐことはできないのです。
ここ最近になって本物のサイトを利用した攻撃が話題になってきました。
よくある事例をご紹介しましょう。
1. ウィルスによって偽画面を仕込まれる
本物のネットバンキングの画面で、ワンタイムパスワードを入力するよう促す偽画面が表示される。サイトを閲覧しているパソコンにウィルスが感染しており、そのウィルスにより偽画面を仕込まれていた。SSLはブラウザとサーバー間の安全を確保する仕組みだが、ブラウザそのものに細工をされることは防ぐことができないという事例です。
2. Google Driveを利用した偽ログイン画面
本物のGoogle Drive上に作成された偽ログイン画面の事例。Google Drive上のコンテンツはSSLで提供されているため、もちろん偽ログイン画面もSSLで提供されているため、アドレスバーは緑色になる。SSLで提供しているサイトであっても、ユーザーが自由にコンテンツをアップロードする仕組みを用意している場合、このように悪用されてしまうという事例です。
3. URLのクエリ文字列に指定されたコンテンツを表示するWEBページを悪用
URLのクエリ文字列(http://~/~?msg=hogehoge の?以降)に指定された文言を画面に表示するようなWEBページにおいて、文言パラメーターに細工した内容を指定され、偽ログイン画面などを仕込まれる。
具体的な事例が確認されているわけではありませんが、想定される事例です。
ちなみに、お知らせページやメッセージ表示ページのような文言を表示するだけのページの場合、クエリ文字列で表示する文言を指定する簡易的な実装になっている場合が実際にあります。場合によってはHTMLタグを受け付ける危険な仕様になっている場合があり、そうでなかったとしても、悪意のあるサイトに誘導するために使用される恐れがあるため、URLのクエリ文字列で任意の文言を表示できるような仕様にするべきではありません。
4. 本物のWEBサイト(CDN含む)が改ざんされる
SSLは関係ないものの、本物のサイトが改ざんされた事例として、以下の事例が話題となっている。CDNで提供していたコンテンツが改ざんされ、ウィルスを仕込まれた。本物のサイトそのものが改ざんされた場合は、仮にSSLが使用されていても防ぐことができません。
バッファローのサーバーが改ざん被害、一時ウイルス入りソフトを配布
http://itpro.nikkeibp.co.jp/article/NEWS/20140602/561027/
特に最近はCDNを利用しているサイトも多く、CDN上のコンテンツを改ざんされるというケースも増えていくのかもしれません。
5. OpenSSLの脆弱性につけ込まれる
具体的な事例があるわけではありませんが、ついでに。Heartbleed問題で話題になったOpenSSL。つい先日も新たな脆弱性が判明しました。
OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開
http://cloud.watch.impress.co.jp/docs/news/20140606_652157.html
このように最近はOpenSSLの比較的大きな脆弱性が次々と明らかになっており、バージョンアップを頻繁にしなければ脆弱性につけ込まれる可能性が高くなっています。
OpenSSLは保守性の低いソースコードであるともいわれており、元々問題が山のようにある可能性も高いのですが、本質的にSSLを支える基盤ソフトそのものの問題によりSSLの安全性が損なわれるという事例はどのソフトにでもあり得ることです。
まとめ
題名に「もはや」と付けましたが、もはやもなにもSSLの仕組みやカバーする範囲を超えた部分はどうしようもないという点は、当初から想定されているような問題です。SSLだから100%安心というわけにはいきません。その問題点を積極的に悪用した巧妙な手口の偽サイトや偽画面が増えているため、特に注意が必要だということです。SSLだからといって盲信するのではなく、ページの内容が怪しくないか等をしっかりとチェックする必要があるということです。しかし、専門家でさえ騙されてしまう巧妙なケースもあります。
では、どうすればいいのか。
完璧な対策は存在しません。
サービス提供者、利用者双方が、流行のフィッシング詐欺の手法やセキュリティの動向などをしっかりと把握しておき、騙されないように、騙しに使えないように心がけるようにしなければなりません。そして「自分は絶対に騙されない」という自信は捨てることです。加えて、口座に不正な入出金がないかどうか、こまめにチェックする必要もあるでしょう。
え?根本的な対策?
えー、アレですよ、アレ。
じ、人類(に類似するもの含む)が滅亡すれば、こんな事例は発生しなくなるんじゃないですかね?
というわけで、
そんじゃーね!