いかにも安全に思える常時SSLに秘められたセキュリティ問題とは

一般的なWebサイトを利用している人の通信内容は、比較的容易に盗聴できるという話はよく聞きます。

そのため銀行など金融機関がインターネット上で提供しているネットバンキングなどのシステムは、通信内容を盗むことができないように暗号化されています。

その目的で採用されているのが「SSL」と呼ばれている暗号化システム。この仕組みを一般的なWebサイトでも常に使用する方が理想的であり、それが「常時SSL」と呼ばれる形態です。

ところが、この形態で通信を行うことによって、逆に問題が発生する可能性があるということを解説します。

常時SSLに秘められたセキュリティ問題

インターネットの世界で急速に進んでいるセキュリティ対策が「常時SSL」。以前はネットバンキングなどの特に重要なサービスに限って使用されていたSSLを使用して、通信を常時暗号化するシステムです。

現在では一般的なWebサイトでも、このSSLを常時使用するようになりました。例えば2014年の8月に検索エンジン最大手のGoogleは、SSLに対応しているWebサイトを今後は検索ランキングで優遇するという方針を発表。

それでは常時SSLにすれば、全ての問題は解決するでしょうか?通信内容を盗むという行為に対しては非常に有効な手段である常時SSL。

ところがサイバー攻撃を受けていることを、既存のセキュリティ対策ソフトで検知できるのかという問題があります。例えばメッセージに不正プログラム(マルウェア)を添付してSSL用に暗号化して送信すれば、一般的なセキュリティ対策ソフトでは検知できません。暗号化された通信でもその内容を解析できる特殊なセキュリティ対策が必要です。

常時SSLは安心だと思っていた人にはショック?

すでに暗号化された通信によるサイバー攻撃の増加も予測されているのが現状です。感染した端末を遠隔操作する際に、SSL通信を利用するタイプのマルウェアが実際に広がっているという情報さえあります。

現在の一般的なセキュリティ対策では、SSL通信によって遠隔操作されていることを検知できません。

このような脅威に対応するには、SSL通信を一度可視化したうえでチェックできるセキュリティ対策製品を導入する方法も。

またいくつかの金融機関のように、ネットバンキングのような重要度の高いWebサイトのみを常時SSLで運用、それ以外の部分ではこれまでと同じように暗号化せずに通信を行うという対応もありえます。SSL通信を可視化するためには、コンピューターの情報処理能力に大きな負荷をかける必要があるため、専用のCPUを搭載したセキュリティ製品も提供されています。

常時SSLだけでは完璧ではないセキュリティ対策

Googleでは、将来的にはSSL通信に対応していないWebサイトに付いて「このWebサイトは安全ではありません。」などというような表示を行うことを予告。

このような動きによって、ほとんどのWebサイトが常時SSLに対応しようとする動きは、止まりそうにありません。

盗聴はなくなっても、マルウェアが暗躍するようなインターネットでは困ります。一般的なユーザーでも購入できるような安価で、効果の期待できるセキュリティ対策製品の開発が必須です。