Webサイトの安全確認を3ステップで SiteLock

常時SSL化の落とし穴にはまらない インフラ担当者が押さえておくべき対策とは


はじめに

近年、Webサイトへの攻撃やメールによる標的型攻撃などサイバー攻撃の手法はより巧妙かつ悪質なものとなっています。その結果、2015年の日本年金機構の事例や、米Yahooの事例など個人情報の流出事故が後を絶ちません。

こういった状況の中、インターネットを取り巻く環境で進められている対策の一つが全ての通信を暗号化する「常時SSL化」です。

しかし、一見、通信が暗号化されることで安全になったように思える「常時SSL化」にも実は落とし穴があります。それはどういうことでしょうか。

サイバー攻撃による情報流出等の現状

先日、ランサムウェア(身代金要求型ウィルス)WannaCryptのニュースが世界を震撼させたことは皆さんの記憶にも新しいところだと思います。このランサムウェアに感染すると、PC上のファイルがすべて暗号化されて使いものにならなくなり、身代金(ランサム)を支払うまで解除されないということになります。最初の攻撃は英国の医療機関National Health Service(NHS)でしたが急速に広がり、少なくとも世界150カ国で計20万件の被害が出ていることが明らかとなっています。

また、今年に入ってからはWebサイトのアプリケーションフレームワークである「Apache Struts 2」の脆弱性を悪用するケースも頻発しています。6月に入ってからも国土交通省が運営する「土地総合情報システム」が、この脆弱性を悪用した不正アクセスを受け、登記情報などが外部に流出してしまうという事例が発生しています。

メールでのサイバー攻撃も巧妙化しています。企業版の振り込め詐欺とも言える「ビジネスメール詐欺」がそれです。これは、悪意を持った者が取引先企業や上司を装ったメールを送って振込等をさせてしまうというものです。

実例としては2016年にバービー人形で有名なマテル社が被害を受けたケースがあります。この時は悪意を持った何者かが「中国市場を開拓したいため、投資をしたい。以下の中国の銀行に振り込んでくれ」という内容のメールを上司になりすまして部下に送りました。本件では部下は本当の指示だと思い込み、300万ドルの振り込みをしましたが、たまたま休日で処理がなされなくて未遂に終わっています。

このようにサイバー攻撃の手口は年々巧妙化かつ悪質化してきており、対応が急務となっています。

通信のトレンドは常時SSL化

こういったますます増えるインターネット上の脅威に対応するために、企業での採用が広がっているのが「常時SSL化」です。

通信を行う際はネットワーク上をデータが流れます。この時、通常であれば通信の内容をすべて取得して読むことが出来れば、内容をすべて知ることが出来ます。この時に悪意を持った者に情報を取得されてしまうと情報漏洩につながります。これを防ぐ目的で通信の内容を簡単に知ることが出来ないように暗号化する仕組みが「SSL」です。

そして、Webサイトに関わるすべての通信をSSL化するのが「常時SSL化」です。SSLでアクセスするWebサイトは通常のHTTPではなくHTTPSと表記されたURLに接続します。

皆さんも多くのWebサイトを閲覧する中で、クレジットカードの情報を入力するページや何かを注文するページなど、特定のページだけ「暗号化」されているのはよく目にされていると思います。

しかし、「常時SSL化」というのは、これら一部のページだけ暗号化するのではなく、「すべてのページを暗号化」するものです。言い換えると、すべてのページでSSL接続(HTTPS)でのアクセスを活用するのです。

これは、以下の点で大きなメリットがあります。

  • セキュリティの向上
  • 開発速度の向上
  • 検索順位の向上

このように見てみると、セキュリティの向上としては「盗聴・なりすましの防止」「サイバー攻撃対策」などが挙げられますが、セキュリティ以外にもWebサイト上でSSL接続とそうでないページを切り替えたりする手間がなくなることから開発が効率化されるといったメリットもあります。

また、変わったところではGoogleの検索順位が上がるSEO対策といった一面もあります。これはGoogleがGoogleは2014年8月から、HTTPサイトよりもHTTPSサイトの検索順位を優先するような設定にしていることに起因します。

さらには2015年に承認されたHTTP/2ではデフォルトでSSL接続を要求する仕様になっているため、この利用促進も「常時SSL化」の流れを後押ししています。このように、さまざまな理由から「常時SSL化」の採用が伸びています。

常時SSL化にひそむ落とし穴とは

暗号化によるセキュリティの向上だけでなく、SEO対策の向上などさまざまなメリットがある「常時SSL化」。しかし、実は「常時SSL化」にも落とし穴があります。良いことづくめではないのです。

「常時SSL化」にひそむ落とし穴、それは

「暗号化された通信の中に脅威が潜んでいても検知できない」

という事実です。つまり、本来不正アクセスや脅威となるような通信内容を検知する不正侵入検知・防御システム(IDS・IPS)が通信内容が暗号化されているがために、内容をチェックできなくなってしまうのです。これは非常に大きな問題です。

例えばこの落とし穴にハマってしまったと言える事例には以下のようなものがあります。端的に言うとHTTPSなど暗号化されたアクセスを使う不正な攻撃はすべて当てはまります。

<事例1>

欧米企業の多数で「セキュリティデバイスによる検出を回避するために暗号通信を使用した攻撃を受けた」という事例がある。これらのうち自社のセキュリティ認証情報を盗まれてしまったケースもある。

<事例2>

SSLで接続されるように作成された偽装サイトに接続させるケース。あるフリーソフトのアップデートサイトが偽装されたが、SSL化されていたため、IT管理者等が見つけられないままに企業内のユーザーが被害を受けたケースがある。

さらに今後常時SSL化は急速に進むと思われます。大手セキュリティベンダーのシマンテックによると今後4〜5年で急速にSSL化が進み、将来的に全てのサイトが「常時SSL化」されるとのことです。

こういった中、この「常時 SSL化」にひそむ落とし穴の問題については大きな課題であり、解決すべき問題です。

SSLの可視化とは〜常時SSL化の問題解消に向けて

「常時SSL化」にひそむ落とし穴「暗号化された通信の中に脅威が潜んでいても検知できない」。これを解決する方法の一つが、「SSLの可視化」です。

「SSLの可視化」、耳慣れない言葉だと思いますが、簡単に説明すると、「暗号化を一旦解除(復号化)し、セキュリティチェックを行なったのちに再度暗号化する」というものです。つまり、暗号化された「見えないデータ」を復号化して「見える形」(可視化)にしてチェックするのです。

この方法は、一見理にかなったとても良い方法であるように見えますが、一つ問題があります。それは

「SSLの復号化処理には大きな負荷がかかるため、とても高いパフォーマンスを要求する」

ということです。復号化のために、非常に処理能力の高いハードウェアが必要になります。もちろんとても高価なものです。また、通常のシステムエンジニアとは違った高い技術を持った専門のエンジニアが運用やメンテナンスに携わる必要があります。

これらにかかる運用コストは多大なものであり、なかなか導入することが難しいケースも多いでしょう。

しかし、今回紹介したように常時SSL化によって、脅威情報が暗号化されていて検知できなかったため悪意を持った者の侵入を許してしまったとしても、最悪Webサーバーでは検知し、防御する必要があります。では、どのようにすれば良いのでしょうか。

これを解決するのが、クラウドベースの統合型セキュリティソリューションである「SiteLock」です。これは一般のシステムエンジニアでも十分操作できる簡単なソフトウェアであり、以下の機能を持っています。

  • WebサイトやWordPressの脆弱性のチェックができる
  • マルウェアや不正なコードの検知と駆除ができる
  • Webサイトの改ざんチェックができる

Webサイトの「常時SSL化」を実施、あるいは検討している企業での採用事例も多く、また本来専門的なエンジニアでしか行なうことが出来ないような厳密なチェックなども簡単に行うことが出来るようになっています。

まとめ

近年、インターネット上の脅威は巧妙化かつ悪質化しています。先日、世界を震撼させることになったランサムウェアWannaCryptの事例や、Webサイトのアプリケーションフレームワークである「Apache Struts 2」の脆弱性を悪用した不正アクセスなどの事例は、世界中で多数の被害をもたらす結果となり、大きな問題となりました。

こういった現状からWebサイトのアクセスについても従来は必要なページだけ暗号化された通信を活用するSSLを用いていましたが、すべてのページについて暗号化接続を行う「常時SSL化」が大きなトレンドとなってきています。これにより、通信内容が外部に漏洩しないという大きなメリットがあります。

しかし、その反面、通信が暗号化されることで「暗号化された通信の中に脅威が潜んでいても検知できない」という問題があります。これを解決するには「暗号化された通信内容を一時的に復号化し、チェックする」ということが必要になりますが、これを行うためには高価で高いパフォーマンスを持った処理機器が必要となります。

また専門の高度な知識を持った技術者が必要になります。

これを解決するのが、「SiteLock」です。クラウドベースの統合セキュリティシステムである「SiteLock」はそれほどの出費を必要とせず、また一般のシステムエンジニアでも十分に運用可能なソリューションです。

高度なレベルのセキュリティ管理が必要になる現在、こういったサービスを利用することによって比較的安価に、かつ高いレベルの専門知識がなくても手軽に導入・運用できるという面で、こういった製品の導入を行うことも選択肢の一つにしても良いのではないでしょうか。


参考:脆弱性診断&マルウェア駆除 SiteLock


執筆者プロフィール

早坂浩充
1974年生まれの43歳。首都圏、京阪神でサーバーエンジニアとして15年程度業務に従事してきた。現在は、社内システム部門の取りまとめ役として様々なIT関連の事柄の解決やIT戦略の立案などに日々取り組んでいる。

SiteLockのプラン・料金を調べる