日本ベリサインは3月13日、米Verisignが中間者攻撃(Man-In-The-Middle攻撃)に関する新たな手口を発表したことを受け、エンドユーザーおよび企業向けに対策方法を公開した。
中間者攻撃とは、ユーザーを偽のウェブサイトに誘導するオンライン不正攻撃のこと。サイト訪問者を騙す手段として、フィッシングメール、不正な無線LANアクセスポイント、さらに最近ではセキュリティの低いDNSサーバを標的としたデータ改ざんなどがある。
新たな手口は、ユーザーのブラウザと本物のウェブサイトの間の通信に偽のサーバやアプリケーションを割り込ませ、プロキシのように機能させることで、ブラウザとサーバの間で送受信されるHTTP形式の重要情報を盗み出すというもの。
従来の中間者攻撃との違いは、不正なウェブサイトを信頼できるものに見せかけるために、偽の視覚的目印を表示している点にある。具体的には、SSLで暗号化されているサイトの目印として広く知られている南京錠のマークを偽サイトのファビコン(アドレスバーに表示されるアイコン)に設定するという手口が取られている。
ただし、EV SSL証明書を導入したサイトでは、最新のブラウザでアクセスするとブラウザのアドレスバーなどが緑色に変わるため、本物のサイトかどうか容易に確認できるとベリサインでは説明している。
このような攻撃への対策方法として、エンドユーザーに対し「アドレスバー等が緑色に変わることを確認する」「セキュリティ性の高いウェブブラウザの最新版(Internet Explorer 7以上、Firefox 3以上、Google Chrome、Safari、Operaなど)を使用する」「不審な差出人からのメールは慎重に扱い、文面に記載されたリンクにはアクセスしない」を挙げている。
また企業に対しては、「EV SSL証明書を導入し、アドレスバー等が緑色に変化することにどのような意味があるのかをユーザーに周知するとともに、自社サイトのトップページやすべてのページにEV SSL証明書を導入する」「SSL化されていないウェブページにログイン画面が表示されないように設定する」「アクセスのセキュリティをさらに強化するオプションとして、二要素認証サービスを提供する」などの方法を挙げている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス