- 2018/03/30
- セキュリティ
安心のための常時SSLが逆にマルウェアや標的型攻撃の“隠れ蓑”に?
Post by : Yukimi Sohta
急速に広がる「常時SSL化」サイト
最近、「常時SSL」を採用するWebサイトが急速に増えてきました。常時SSLとはその名の通り、サイトとやりとりするすべての通信をSSLで暗号化するというものです。URLの頭が「https://」になっているサイトやページのことだといえば分かりやすいでしょうか。
通信をSSLで暗号化することにより、ユーザーとサイトの間でやりとりされるデータがクラッカーに盗み見られる心配がなくなります。そのため、かつてはユーザーIDやパスワード、クレジットカード番号などをやりとりするページのみをHTTPS化し、その他のページは暗号化しない通常のHPPSで実装するサイトがほとんどでした。
しかし数年前より、GoogleやFacebook、Amazonといった世界の主要サイトがすべてのページをHTTPにする常時SSL化に踏み切るとともに、Googleが「常時SSL化されたサイトを検索結果の上位にランキングする」という方針を打ち出したことにより、世界中のサイトで常時SSL化の動きが一気に加速することになりました。
加えて、SSL証明書を手軽に入手できるようになったという背景事情もあります。かつてサイトのHTTPS化のためには、高額な費用を払ってSSL証明書を入手する必要があったのですが、2014年から「Let’s Encrypt」プロジェクトにより無償SSL証明書の発行が始まり、さらに2015年からはそれまで招待制だったLet’s Encryptが、招待なしで誰でも利用できるようになりました。
こうしてHTTPS化のハードルが一気に低くなった結果、常時SSL化に踏み出すサイトが一気に増えることになりました。2018年3月現在、世界中のWebトラフィックの約半分がSSL通信によって占められているとも言われています。
SSL通信の中にマルウェアを潜ませる新たな手口
サイトを常時SSL化すると、そのサイトとやりとりするすべての通信が暗号化され、クラッカーによる盗聴から守られます。これによって盗聴による情報窃取の危険性がなくなり、サイトのセキュリティ強度は向上すると考えられます。しかし、すべての通信が暗号化されることによって、逆にセキュリティ上の脅威が増す面があることが最近知られるようになってきました。
暗号化された通信の中身は、外部から容易に読み取ることはできません。ということは、もしSSL通信の内部にマルウェアや不正コードが紛れ込んでいた場合は、それを検知することも難しくなってしまうということです。そして事実、この点を巧みに突いた攻撃が目立つようになってきているのです。
例えば、常時SSL化されたサイトに不正コードを埋め込み、アクセスしたユーザーの端末にマルウェアを送り込むドライブ・バイ・ダウンロード攻撃を仕掛けられた場合、ユーザーの端末とサイトとの間の通信はすべてSSL暗号化されているため、その中に含まれているマルウェアを検知することは極めて困難です。同様に、内部ネットワークに侵入したマルウェアが、外部のC&Cサーバーと行う通信をSSL暗号化するケースも増えてきています。
今までのように、平文のHTTP通信の中身をアンチウイルスソフトやIPS/IDS、サンドボックス型製品で読み取っていた手法は、こうした手口に対してはもはや通用しません。あえて対応しようとするならば、いったんSSL暗号化を解いて、復号した通信内容を読み取った後に、再び暗号化してネットワークに送り出すという処理を行う必要があります。事実、こうしたやり方でSSL通信の中から脅威を検知できる製品も存在しますが、その導入や運用には高額な費用やネットワークへの負荷が掛かり、かつ、すべてのネットワークの出入口に設置するのは難しいため、そうそう簡単に取り入れられるものではありません。
SSL通信でも効率的に脅威を検知できるEDR
このように、SSLを隠れ蓑にして巧妙に侵入してくるマルウェアを介した標的型攻撃に対しては、暗号化されたデータをいちいち復号しなくとも、脅威を効率的に検知できる方法がぜひ欲しいところです。これを可能にするのが、弊社が提供するセキュリティソリューション「Cybereason EDR」および「Cybereason Complete Endpoint Protection」です。
この両製品は、EDR(Endpoint Detection and Response)と呼ばれる技術をベースに、PCやサーバなどのエンドポイント端末上で不審な動作をするソフトウェアがないかを常時監視します。AI技術を応用し、平時と異なる傾向がないか常に監視し、もし怪しい動きがあった場合は即座に管理者に通知します。
この方法では通信の中身ではなく、あくまでもエンドポイント上でのソフトウェアの“挙動”をベースに「不審であるか、そうでないか」を動的に判定しますから、いちいちデータの中身をのぞき見る必要がありません。そのため、データが平文のまま転送されるHTTP通信でも、SSL暗号化されるHTTPS通信であっても、特別な仕組みを導入することなく、どちらも同じように扱うことができるのです。
今後、常時SSL化されるWebサイトの数は、ますます増えていくことでしょう。そしてそれに従い、SSL暗号化通信の中にマルウェアを潜ませる攻撃手法も増えてくるものと予想されます。既存の対策の多くを巧みにすり抜けてくるこれらの攻撃に対処するためにも、EDRによる対策を早めに検討することをお勧めします。
「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中
CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/1033/
