SSL/TLS通信の可視化による企業のセキュリティ強化について紐解く本連載、今回は前編として、SSL/TLS通信が一般化した背景とそれに伴う暗号化を悪用した脅威の増加について解説します。

 

SSL可視化とは一体どのようなことなのでしょうか？
近年、大企業を中心に多くの企業で、外部からの侵入や内部からの情報漏洩を防ぐためのネットワークセキュリティを強化するために、様々なセキュリティ機器を導入して多層防御を実現しています。
その一方で、近年増加しているHTTPSを始めとするSSL/TLSで暗号化された通信を、正しく検査するにはハードルも高く、実際にできていないことも多いのです。

本連載を通じ、SSL/TLS通信が一般化した背景とその暗号化を悪用した脅威の増加、それに対するセキュリティの強化の手段について概説することで、セキュリティ知識を一つ増やしていただければと思います。

■HTTPSなどのSSL/TLS通信が増加した理由

Webサイトではもともと、サービスにログインするためのID・パスワードやクレジットカード番号などの重要な情報を打ち込む場合に限って、安全な通信を実現するためのプロトコルであるHTTPSで暗号化されており、それ以外の機微な情報を扱わないサイトではHTTPで公開されていました。

ところが、ここ数年でこれまでHTTPでアクセスできていたWebサイトが次々とHTTPSのサイトに変わっていったことに皆様もお気づきではないでしょうか？実際、各種調査では2015年頃には20～30%程度だったHTTPSサイトの割合が、2019年には70～90%にまで上昇しています。これにはどのような理由があるのでしょう？

通信の暗号化の重要性が高まった背景の一つに、2013年に米国安全保障局がメール・チャット・ビデオ通話・Webの検索履歴・電話での通話などの通信データを傍受し監視を行っていることが明らかとなった“スノーデン事件”があります。（エシュロン：Echelonのことは公知の事実でしたが、同盟国にも諜報活動を行っていたことが問題に）

この事件を踏まえ、Webサイトに対してもよりプライバシーを守ることが重要視されるようになり、Web検索やWeb閲覧の情報そのものをHTTPSで暗号化する気運が高まりました。

このような流れに伴ってLet’s Encryptのような無料ですぐに利用可能なWebサーバーの証明書発行のサービスが登場したり、クラウドサービス上でWebサーバーを構築する際にAWS Certificate Managerなど容易に証明書を発行できる仕組みが提供されたりすることで、WebサイトのHTTPS化は加速しました。

また、Googleが2014年にはHTTPS対応サイトをランキングシグナルに用いて、ユーザーが安全にWebサイトに接続できるサイトの検索ランキングを優先する方針を打ち出したことで、Webサイト提供者がHTTPS化を進めるインセンティブが高まったことも大きな変化点となりました。

2018年以降では、ChromeやFirefoxなどのブラウザでHTTPS非対応のサイトを閲覧すると、正規のWebサイトに接続したとしても、ブラウザのアドレスバーに「保護されていません」や「安全ではありません」という表示が出るようになり、Webサイト提供者にとって、HTTPSへの対応はほぼ必須となりつつあります。

 

■SSL/TLS通信を悪用した攻撃

前述のような背景からユーザーがプライバシー侵害の不安なくWebサイトにアクセスできる環境が整った一方で、ネットワーク攻撃や情報漏洩にもSSL/TLS暗号化が用いられるような動きが出てきました。

攻撃がSSL/TLSで暗号化されていると攻撃内容を確認することができないため、従来のセキュリティを容易に破ることができます。

SSL/TLSを利用するマルウェアや不正なHTTPSサイトの報告数は2015年頃から急増しており、2016年のPonemon Researchによる北米とEMEAのIT部門を調査したレポートでも、過去12か月に侵入を受けた組織（全体の81%）のうち、SSL/TLS暗号化を利用してセキュリティを破っている攻撃が41%あり、暗号化された攻撃が一般化していることが明らかになっています。

では、攻撃者はどのようにSSL/TLSを攻撃に利用するのでしょうか。図1にマルウェア開発者が暗号化通信を悪用する手法をまとめました。

図1：攻撃者が暗号化通信を悪用する手口

まず、SSL/TLSを利用して企業内の端末をボット感染させるためには、以下のような攻撃手法を用います。

• HTTPSサイトを経由したドライブバイダウンロード（ユーザーに気付かれないようにソフトウェアなどをダウンロードさせる攻撃）
• SMTPSを通じた悪意ある添付ファイルの送信
• メッセージアプリを経由した悪意のあるファイル送信

いずれも、通信がSSL/TLS暗号化されていることで、ダウンロードファイルや、メールやメッセージの添付ファイルがネットワークセキュリティ機器で検査できなくなります。

感染後の端末からの情報漏洩や端末への指示にSSL/TLSを利用するには、以下のような攻撃手法があります。

• C＆Cサーバーとの通信にHTTPSなどのSSL/TLS暗号化を利用
• データをSMTPSやクラウドメールサービス経由でメール送信、またはクラウドストレージに保存
• ソーシャルメディアサイトを通じた端末への指示や追加マルウェアのダウンロード

クラウドサービスやソーシャルメディアサイトはいずれもHTTPSで暗号化されていることから、これらを利用することで端末への指示やデータを漏洩させる手法も存在します。
一般的なクラウドサービスを利用するC&Cサーバーの割合も、2011年頃から2016年までの間に約3倍に増加しています。

このような脅威に対応する動きの一つとして、内閣サイバーセキュリティセンター サイバーセキュリティ戦略本部が政府機関向けに発行している「政府機関等の情報セキュリティ対策のための統一基準」の平成30年版に、「情報システム運用時の監視等の運用管理機能要件」として「監視するデータが暗号化されている場合は、必要に応じて復号すること」という記述が加わり、政府機関でのSSL/TLS暗号化を利用した攻撃への対策は進んでいます。今後は政府機関に関わらず、SSL/TLS暗号化を利用した攻撃への防御が必要となることが想定されます。

 

次回は、実際にSSL/TLSの可視化によりセキュリティを強化するソリューションとその選び方について解説します。

 

---

石塚 健太郎（いしづか けんたろう）

A10ネットワークス株式会社
・ソリューションアーキテクト
・博士（情報学）

マルチクラウドやクラウドサービスの活用に繋がるソリューションの開発・提案を担当し、SSL可視化ソリューションについても、国内シェア1位を誇る同社の知見を日本企業に展開している。

---

＜シリーズ＞