米国の政府機関が一部閉鎖されて米国時間1月12日で22日が経過し、連邦政府のウェブサイトのセキュリティに影響が及んでいるようだ。
英国に拠点を置くウェブセキュリティ企業Netcraftは、米国政府機関のウェブサイト数十件でセキュリティ証明書の有効期限切れを確認しており、この状況では訪問者がリスクにさらされる可能性がある。
Netcraftによれば、そういったウェブサイトは司法省から米航空宇宙局(NASA)まで多岐にわたるという。その一部は決済用ポータルで、訪問者の個人情報を危険にさらす可能性があるというが、米CNETの調べでは確認できなかった。
証明書は職員が更新しなければならないため、閉鎖が長引けば期限切れを迎えるものが増えるはずだ。有効期限は証明書ごとにまちまちで、通常なら有効期限の来たものを更新するはずの職員が一時帰休で不在ということは考えられる。その結果、「すべての米国民のセキュリティが損なわれる可能性が現実のものとなるかもしれない」と、Netcraftのセキュリティ研究者Paul Mutton氏は現地時間1月10日付のブログに記している。
Netcraftの指摘により、閉鎖の長期化が米国政府のサイバーセキュリティにもたらす悪影響が明らかになった。閉鎖が長引いているため、大勢の連邦職員や契約職員が一時帰休の状態に置かれている。
セキュリティ証明書はウェブの安全な運用に欠かせないツールだが、ウェブサイトが本物であることを証明するために暗号キーを利用している。証明書のおかげで、ウェブサイトは訪問者との間で送受信する情報を暗号化するツールが利用できる。もしウェブサイトの証明書が有効でなければ、セキュリティツールも使えない。
そうなると、パスワードやクレジットカード番号などの情報が、ハッカーたちの攻撃に対して脆弱なままとなってしまう。その上、重要文書のPDFといった日常的に使われるファイルに見せかけた悪意あるソフトウェアをダウンロードするよう、ハッカーが訪問者を密かに誘導するおそれもある。
Netcraftは、米国政府機関のウェブサイトで有効期限切れのセキュリティ証明書を80件以上確認したが、これらの脆弱なサイトをハッカーが実際に悪用しているかどうかには触れていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
