米国政府機関の閉鎖、ウェブサイトのセキュリティにも悪影響--証明書の期限切れで

Laura Hautala (CNET News) 翻訳校正: 中村智恵子 吉武稔夫 (ガリレオ)

2019-01-15 12:24

 米国の政府機関が一部閉鎖されて米国時間1月12日で22日が経過し、連邦政府のウェブサイトのセキュリティに影響が及んでいるようだ。

 英国に拠点を置くウェブセキュリティ企業Netcraftは、米国政府機関のウェブサイト数十件でセキュリティ証明書の有効期限切れを確認しており、この状況では訪問者がリスクにさらされる可能性がある。

 Netcraftによれば、そういったウェブサイトは司法省から米航空宇宙局(NASA)まで多岐にわたるという。その一部は決済用ポータルで、訪問者の個人情報を危険にさらす可能性があるというが、米CNETの調べでは確認できなかった。

 証明書は職員が更新しなければならないため、閉鎖が長引けば期限切れを迎えるものが増えるはずだ。有効期限は証明書ごとにまちまちで、通常なら有効期限の来たものを更新するはずの職員が一時帰休で不在ということは考えられる。その結果、「すべての米国民のセキュリティが損なわれる可能性が現実のものとなるかもしれない」と、Netcraftのセキュリティ研究者Paul Mutton氏は現地時間1月10日付のブログに記している。

 Netcraftの指摘により、閉鎖の長期化が米国政府のサイバーセキュリティにもたらす悪影響が明らかになった。閉鎖が長引いているため、大勢の連邦職員や契約職員が一時帰休の状態に置かれている。

 セキュリティ証明書はウェブの安全な運用に欠かせないツールだが、ウェブサイトが本物であることを証明するために暗号キーを利用している。証明書のおかげで、ウェブサイトは訪問者との間で送受信する情報を暗号化するツールが利用できる。もしウェブサイトの証明書が有効でなければ、セキュリティツールも使えない。

 そうなると、パスワードやクレジットカード番号などの情報が、ハッカーたちの攻撃に対して脆弱なままとなってしまう。その上、重要文書のPDFといった日常的に使われるファイルに見せかけた悪意あるソフトウェアをダウンロードするよう、ハッカーが訪問者を密かに誘導するおそれもある。

 Netcraftは、米国政府機関のウェブサイトで有効期限切れのセキュリティ証明書を80件以上確認したが、これらの脆弱なサイトをハッカーが実際に悪用しているかどうかには触れていない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法

  2. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  5. ビジネスアプリケーション

    ITR調査結果から導くDX浸透・定着化-“9割の国内企業がDX推進中も成果が出ているのはごく一部”

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]