HTTPS への移行だけで万全ではない理由
2016 年 11 月 4 日 編集部記事
Google の最近の「Transparency Report(透明性レポート)」によると、セキュア Web トラフィック、すなわち HTTPS への移行が 1 年前よりも進んで、Web の安全性が向上しています。Web トラフィックが暗号化され、不正ドメインにアクセスしてしまうリスクの回避にも役立つことから、HTTPS への移行が進んでいることは、一般論としては、誰にとっても喜ばしいことです。Google のレポートによれば、2015 年 4 月~ 2016 年 10 月の間に、HTTPS 経由でロードされる Web ページの割合が大幅に増加しました。また、Windows、Mac、または Linux マシンの Chrome ユーザがセキュアな HTTPS ページにアクセスしている時間は全体のほぼ 3 分の 2 に達しています。
HTTPS にこれらの関する数字はセキュリティ業界にとっては大いに歓迎すべきものであり、オンラインセキュリティが確実に向上していることを示していますが、考慮すべきいくつかの問題もあります。
第 1 に、HTTPS は、厳格に適用されていなければ絶対ではありません。たとえば、URL を自分で入力する場合、ほとんどのユーザが http:// や https:// を省略します。プロトコルが入力されないと、HSTS(HTTP Strict Transport Security)ポリシーが設定されている場合を除き、ブラウザが自動的に HTTP をデフォルトとして使用する可能性があります。セキュア Web サイトでは、HTTP サービスによってユーザが HTTPS の宛先へとリダイレクトされますが、結果として、中間者攻撃に対する脆弱性が高くなります。つまり、ユーザが最初の HTTP サイトにダイレクトされた段階で、攻撃者が HTTP 要求を乗っ取って、ユーザによるセキュア HTTPS Web サイトへのアクセスをブロックできるのです。HSTS ポリシーが正しく設定されていないと、HTTPS の効果が大きく低下する可能性があります。
第 2 に、攻撃でも HTTPS が使用されるようになっている点が挙げられます。A10 Networks と Ponemon Institute が発表した最近のレポートによると、過去 1 年間の企業に対するサイバー攻撃の半数近くで、暗号化されたトラフィックにマルウェアが隠蔽されていたことがわかりました。つまり、攻撃者が HTTPS を利用してマルウェアのコマンド&コントロール(C&C)通信を保護するようになっており、新たな標的に不正実行可能ファイルを配信する際に HTTPS が使用されることもあります。どちらの場合も、アンチウイルスやボットネット検知などの一般的なセキュリティテクノロジでは、この暗号化されたトラフィックの内容を確認できない限り、発見できないでしょう。HTTPS に隠れたマルウェアは、従来のセキュリティ制御では発見できないため、HTTPS トラフィックを検査して、これらのカモフラージュ型攻撃をブロックできるセキュリティソリューションが必要です。
HTTPS の使用を今後も推進することがセキュリティ業界全体の目標ではありますが、情報セキュリティの世界では 100 パーセント確実な方法は存在しないことを覚えておくことも重要です。最新かつ最高のセキュリティ対策を講じている場合であっても、攻撃者は常にそれを回避する方法を探しているという事実を忘れてはいけません。