[PR] 攻撃が検知されないよう、通信の秘匿性を確保するためのSSL暗号を悪用するハッカーが増加し、危険性が増している。高度な脅威への防御策として、A10ネットワークスの「SSLインサイト」機能を紹介したい。
SSL通信を悪用する攻撃が増加
個人情報や政府による監視への懸案からSSL通信は今後も増加すると予想されている。GoogleやFacebook、Twitter、LinkedInなど主要なWebサイトでは、アプリケーショントラフィックを暗号化しているが、通信を暗号化しているのは大手Webサイトにとどまらない。セキュリティ対策の一環として常時SSL化が進んできているのだ。
SSL暗号により安全な接続が実現する一方、攻撃者は常にSSLプロトコルの抜け道や脆弱性につけいってきた。2014年は、Heartbleed、BEAST、POODLEなどSSLの脆弱性が大幅に増えた年でもある。A10ネットワークス ソリューションアーキテクトの熊村剛規氏は、SSL通信の悪用の実態を、次のように説明する。
A10ネットワークス 熊村剛規氏
「標的型攻撃では、社内ネットワークに侵入し、外部のC&Cサーバとの通信を行って重要情報を盗み出していきます。その社外との通信の際にSSL通信を悪用するのです。たとえば、httpsで保護されたサイトからドライブバイダウンロード攻撃をしかけたり、C&Cサーバへの通信にsmtpsやhttpsなどを使ったりして、モニタリングの目をかいくぐります」
そもそもSSL通信は、IDやパスワード、個人情報といった重要情報を外部に漏らさない秘匿通信のために使われるものだ。SSLやその後継であるTLS(Transport Layer Security)はメリットがある反面、危険をもたらしている。攻撃の手口は巧妙化しており、SSL通信の検査に対応しないセキュリティ装置に検知されないよう、暗号通信を悪用するのだ。
熊村氏によると、SSLを使った具体的な攻撃シナリオは、大きく2つある。1つは、主にクライアントでの通信を秘匿するものだ。さきほどの標的型攻撃でいえば、攻撃者がフィッシングメールなどを使って標的を不正サイトに誘導する際に、不正サイトをhttpsで保護しておく。すると、ユーザーは、リンク先が安全なサイトだと誤認しやすくなるうえ、通信が確立しても、安全な通信が行われていると勘違いしやすくなる。
もしここで企業側が何も対策を施していなければ、クライアントと不正サイトとの通信内容を読み取ることはできなくなる。IT担当者やセキュリティ担当者が不正な通信に気づいて、キャプチャしたパケットを分析しても、どのような内容が送信されたかを追跡することは不可能なのだ。
もう1つは、主にサーバからの通信を秘匿するものだ。たとえば、セキュリティアップデートに使うサーバをhttpsで保護された不正サイトに偽装する。実際に、あるフリーソフトのアップデートサーバが不正サイトに偽装され、自動アップデートで企業内のユーザーが攻撃を受けるというケースが発生したことがある。すべてがサーバサイドで起こるため、クライアント側では対策の施しようがないことが大きな問題になった。ここでさらに通信がSSL化されていた場合、IT担当者やセキュリティ担当者は通信内容を一切確認できなくなるわけだ。
