セキュリティ情報

2018/03/09

SSL通信に潜む脅威のリアリティ – データ保護のための暗号通信が逆手に取られている –

● インシデントがなくならない要因: SSL

最近セキュリティ界隈では、「SOC」「CSIRT」において様々なログ情報を分析し、「脅威」や「あやしいふるまい」を可視化し、影響範囲を特定する「見える化」「可視化」が、ちょっとしたブームだ。

ところが実際の現場では、インシデントの兆候を掴んでいないにも関わらず、情報流出などを外部より指摘されるといったケースが後を絶たない。

これは、多くのセキュリティ製品において、ログに肝心な情報が残らなかったり、セキュリティ製品をバイパスしてしまう通信が増加していることによる。なぜ、このような事態が起きるのか? その原因のひとつが、端末とサーバ間で通信を秘匿化してしまう、「SSL」だ。「中身が見えない通信」がインシデントの初動対応を遅らせ、リスクを増大させる原因となっている。

クラウドの活用や「HTTP/2」が普及した結果、企業の通信のうち、SSL(https)通信が占める割合が今や60%に迫ろうとしている。つまり、企業における半分以上の通信が、安全であるのか、可視化されていないことになる。

単純化した例だが、仮にこれまで5,000万円をネットワークセキュリティに投資してきた企業であれば、通信の半分以上を占めるSSL通信が可視化できていないとしたら、2,500万円以上の投資が、十分な効果を得られていないことになってしまう。

「SSLサイトは安全で信頼できるサイトだから可視化など必要ないはず」と考える人も少なくない。しかし、今やSSLが攻撃者の隠れ蓑として悪用されるケースが増加しているのだ。

例えば、シマンテックの調査では、1年間に確認された新種マルウェア4億100万件のうち4%にあたる約1600万件が一般的なクラウドサービス上にホストされていた。
さらに感染後に攻撃者が司令を出すC&Cサーバとのやりとりに「SSL」を用い、通信内容を隠蔽するマルウェアが、前年対比約80%増と大幅に拡大している。

ユニークなマルウェアとその傾向(SSL悪用)


図1:ユニークなマルウェアとその傾向(SSL悪用)

● ビジネス環境はウェブ(https)シフト

くわえて昨今は「働き方改革」ブームだ。多くの企業が業務インフラにクラウドを活用し、自宅や出張先といった社外からクラウドを活用する「クラウドシフト」が、盛んに進められている。

もし、業務で利用するファイルをダウンロードするためのURLへのリンクが、クラウドサービス経由で送られてきた場合、ほとんどの人は信頼できる送付元から送られたと確認できれば、迷わずリンクをクリックするだろう。

そのリンク先がhttpsを利用するサイトであれば、端末とクラウドサービス間でSSL通信が行われる。中身がマルウェアであっても、暗号通信経由でファイルが端末にダウンロードされてしまう。オンプレミスの多層防御では、信頼できるサービスの通信をブロックすることなく、通信内部に潜んだファイルは、検出されることなく素通りしてしまうのだ。

業務スタイルの変革に伴い増加するSSL通信は、従来のセキュリティ対策での機密データのやりとりやマルウェアの脅威を検出することを困難にする。こうした問題は、企業によるクラウド活用を萎縮させ、ビジネスを革新する機会を失うことにもつながりかねない。

クラウドを悪用したマルウェア配付の例


図2:クラウドを悪用したマルウェア配付の例

● 適切なSSLの可視化がもたらすメリット

基幹業務をクラウドへ拡大する「業務スタイルの変革」にあたっては、多用されるSSL通信を可視化することでのリスク対策が必須だ。もはや企業が導入検討しなければならない「新しいセキュリティ・レイヤー」といえる。

しかし、闇雲にSSL通信を可視化すれば良いわけではない。アカウント情報や個人情報のやり取りを傍受することは「プライバシーの侵害」に繋がり、個人情報保護法やPCI DSSなど、「コンプライアンスへの抵触」を招く。

SSL通信の可視化の実装にあたり、考慮すべきポイントがある。少なくとも以下に該当するサイトでは、通信の可視化を実施すべきだろう。

1.信頼できない機関から発行されたSSL証明書を使用しているサイト
2.URLのカテゴリ上、信頼できない、もしくは未分類に該当するサイト
3.ファイルのやり取りを行うサイト(ウェブメール、ストレージサービス等)

近年、SSL通信を可視化するニーズの高まりを受け、SSL通信の可視化に特化した製品も多く登場しており、SymantecでもSSL Visibility Appliance という製品を提供している。

SSL通信を安全に可視化するためにも、対応している暗号スイート及び連携可能なセキュリティ製品の状況や、SSL自体の脆弱性への修正状況など、対応状況をしっかりと確認することが重要だ。その上で製品を上手に活用し、以下の図に挙げたようなSSL可視化によるセキュリティの強化などに活かしていただければ幸いだ。

適切なSSL可視化がもたらすメリット


図3:適切なSSL可視化がもたらすメリット

セキュリティ情報トップへ戻る

シマンテック セールスインフォメーション(法人のお客様向け)

※2014年2月17日よりお問い合わせ番号が下記のものに変更となりましたのでご注意ください。

電話でのお問い合わせ
03-4540-6226
受付時間:10:00~12:00、13:00~17:00
月曜日~金曜日(土・日・祝日を除く)
WEBからのお問い合わせ
お問い合わせフォーム
セキュリティの緊急事態発生時は
インシデントレスポンスサービス
Email : incidentresponse@symantec.com
0066-33-813-303(フリーダイヤル 9:00-17:30* )
*時間外は留守電もしくは英語対応になります。
お問い合わせの前に
お問い合わせが集中しお電話がつながりにくくなる場合がございますが、水曜日、金曜日は比較的お電話がつながりやすい傾向にあります。
なお平日の10:00~11:00及び15:00~17:00の時間帯はお待たせする可能性がございます。また月末月初やGW/夏休み前後、年末にはお問い合わせが集中することが予想されます。