米国コンピュータ緊急事態対策チーム(CERT)は、企業やその他の組織に対し、HTTPSまたはTLS傍受製品の使用を控えるよう警告する報告書を発表しました。CERTによると、これらの製品はサーバー接続を適切に検証せず、弱い暗号方式を使用している可能性があるため、企業の通信の安全性を低下させることが多いとのことです。
TLSインターセプション
組織では、セキュリティ対策の一環として、暗号化されたTLS接続の傍受が頻繁に行われています。マルウェアやスパムのチェックのために、暗号化された通信はすべて社内で復号化するのが最善だと考えられています。しかし、CERTによると、このような考え方は企業を別の危険にさらす可能性があるとのことです。
HTTPSインスペクションは、HTTPSトラフィックを傍受し、ネットワーク接続に対して中間者(MITM)攻撃を実行することで機能します。MITM攻撃では、クライアントがアクセスしようとしているサーバーを偽装した(通常は悪意のある)第三者に機密データが送信されます。しかし、クライアント証明書と偽装されたサーバー証明書が一致しないため、この攻撃が発生するとブラウザに警告が表示される場合があります。
これらの警告を回避するために、組織は自社の接続に対して中間者攻撃(MITM)を行う際に、傍受製品と一致する「信頼できる」証明書をクライアントマシンにインストールします。しかし、この解決策の問題点は、クライアントがサーバーの証明書を検証できなくなることです。
したがって、傍受製品とクライアント マシン間の接続が安全であっても、傍受製品とクライアントの両方が偽装されたサーバーからデータを受信している可能性があります。
CERTによると、多くの傍受製品は、データを再暗号化してクライアントに転送する前に、サーバーの証明書チェーンを適切に検証していないとのことです。CERTは、多くの傍受製品が証明書チェーンのエラーをクライアントに転送していないため、クライアントはデータが偽装されたサーバーに送信されたことに気付かない可能性があることを発見しました。
CERT の推奨事項
企業が何らかの理由でHTTPSインターセプション製品をエンタープライズセキュリティアーキテクチャから削除することを拒否している場合、CERTはBadSSL.comなどのサイトを利用して接続のセキュリティをテストすることを推奨しています。これらのテストにより、HTTPS検査製品がサーバーの証明書チェーンを適切に検証しているかどうか、また接続の再暗号化時に弱い暗号化方式を使用していないかどうかが明らかになります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
少なくとも、BadSSL.com の証明書テストによってインターネットにアクセスできるクライアントの接続が阻止される場合、クライアントは HTTPS 検査製品を介して行われる接続も拒否する必要があります。
