最近発生した数々のハッキング攻撃により、インターネットの根本的なセキュリティに疑問が生じています。これまで絶対確実と考えられていたシステムに、ハッキング攻撃が疑問を投げかけているのです。しかし、絶妙なタイミングで、2つの新たなセキュリティ対策が登場し、事態を救おうとしています。
HTTPSハック:概要
ハイパーテキスト転送プロトコルセキュア(HTTPS)は、Webブラウザ内で安全な接続が使用されていることを示す南京錠システムの技術名称です。これは通常、オンラインバンキングサイトやWebメールプロバイダーで使用されており、世界中の信頼できる多数の証明機関(CA)によって発行されるセキュリティ証明書と呼ばれる文書に基づいています。Webブラウザはこれらの証明書を使用して、さまざまなサイトの信頼性を検証します。
しかし、3月に「Ich Sun」と呼ばれるハッカー(またはハッカーグループ)が、世界第2位のCAであるComodoのコンピュータシステムにアクセスし、Google、Yahoo、Skype、Hotmailなどの不正な証明書を発行しました。これらの証明書は、偽サイトを正規のサイトのように見せかけるために利用される可能性がありました。ハッキングが発覚すると、これらの証明書は速やかに失効され、MicrosoftはWindowsユーザーが騙されないようにアップデートをリリースしました。
数日前、Ich Sunが再び注目を集めました。今回は、さらに複数のCAシステムに侵入したと主張しています。現時点でIch Sunが他に証明書を発行したかどうかは不明です。
こうした証明書の盗難は、インターネットのドメインネームサーバーを乗っ取るような高度なハッキング攻撃に使用されない限り、大きな脅威にはなりません。Ich Sunは、本物そっくりのドメイン(例えば、paypal.comではなくpaypall.com)の証明書を発行していた可能性も考えられます。そして、これらの証明書はフィッシング攻撃に利用され、偽造証明書に表示されている南京錠のシンボルを見たユーザーは、騙されていることに気づかない可能性があります。
しかし、助けはもうすぐ来ます。
新たな脅威に対する新たなセキュリティ
最初の新たな展開は、以前の記事で説明したように、DNSSECです。これが今後数年間で普及すると仮定すると(.comドメインでは先週の木曜日にのみ有効化されました)、ブラウザが示すサイトに接続していることを証明する合理的な手段を提供してくれるはずです。
第二に、Googleは「Google証明書カタログ」と呼ばれるものの構築を開始しました。これは、Googleが有効なセキュリティ証明書とみなすものをウェブからアクセス可能なデータベースです。Googleの検索カタログと同じ頻度で更新されます。これは、同じウェブクローラーボットがデータを収集しているためです。
まだ初期段階ではありますが、このカタログは証明書が有効とみなすべきかどうかだけでなく、Googleがその証明書をどれくらいの期間認識していたかも示します。つまり、Google証明書カタログが証明書を認識していない場合は、その証明書は疑わしいとみなすべきだということです。
現時点でデータベースを調査することは可能ですが、簡単ではなく、LinuxまたはMacのコマンドラインが必要です(データベースはドメインネームサーバーの形式で保存されているため、簡単にクエリを実行できます)。将来的には、Google ChromeやMozilla Firefoxなどのブラウザにこの機能が組み込まれる可能性がありますが、結果には解釈が必要となるため、ユーザーが選択する必要があります。例えば、データベースに1日しか保存されていない証明書が必ずしも不正行為を示しているとは限りません。証明書が最近更新されただけかもしれません。
このプロジェクトは、少数のセキュリティ研究者によって構築されたオープンシステムであるPerspectivesと非常によく似ています。しかし、Googleのシステムには、インターネットの有力企業によって構築されているというシンプルな利点があります。Googleによると、このカタログは誰でも利用することができます。
Comodoへの攻撃や、ウィキリークス事件をめぐるAnonymousによる攻撃は、21世紀を迎えた今、Webがいかに脆弱であるかを露呈し始めていると多くの人が指摘しています。確かに今は困難な時代ですが、Google、Mozilla、Microsoftといった企業がブラウザのアップデートを頻繁に提供し、技術も進歩していることを考えると、技術が停滞し、私たちが時事問題に追いつけないという証拠は見当たりません。
