現在 HTTPS はどのくらい安全なのか、どれくらいの頻度で攻撃されるのか
The original document was last modified: ,
and last modified as a translation into Japanese: 2021-02-18 15:56:21.
Translated from https://www.eff.org/deeplinks/2011/10/how-secure-https-today.
Original document by Peter Eckersley is distributed under Attribution 3.0 United States (CC BY 3.0),
and this translation is also redistributed under the same license.
本稿は「HTTPS と TLS/SSL のセキュリティ」という連作の第一部である。[訳者注:2011年の文章であることに注意。]
HTTPS は HTTP よりも安全である! もしウェブサイトが登録情報を運用していたり、彼らが自分だけで読みたいと思うようなものを発行しているなら、そのサイトは HTTPS で保護されなくてはならない。
しかし残念なことに、攻撃者たちは依然として HTTPS 通信を破壊できる。暗号学的に見たプロトコルの脆弱性という点を除けば、mail.google.com や www.citibank.com、www.eff.org、あるいは addons.mozilla.org、等をはじめとする莫大な数の重要サービスを含むどのようなドメインについても、それらの認証というメカニズムを台無しにしてしまう、以下のような構造的な方法があるのだ。
- 認証機関へ侵入する(あるいはそれらの内部に影響を与えるウェブアプリケーションを侵害する)。SSL Observatory プロジェクトの結果から知りうる限り、あなたのブラウザは 600 を超える認証機関を信用済みにしている。攻撃者はそれらの中から侵入できそうな認証機関を一つ見つければよい。そしてそれが破壊されると、既に知っているように破壊的な結果をもたらしたのである。
- 認証機関に近いルータを侵害して、認証機関から外へ発信されるメールを読み取ったり、内向きに入ってくる DNS パケットを改変したり、ドメインの信頼性を無効にしたりする。あるいは同様に、攻撃対象となるサイトに近いルータを侵害して、受信メールを読んだり、外へ向かう DNS レスポンスを改竄する。ここで注意したいのは、SMTPS でメールを暗号化しても役に立たないということだ。なぜなら、STARTTLS はダウングレード攻撃には弱いからである。
- 認証機関自身が使うリカーシヴな DNS サーバ(DNS キャッシュ)を侵害したり、攻撃対象のドメインについて設定された DNS エントリを偽造する(これは往々にして非常に簡単なことだった)。これによっても、ドメインの信頼性は損なわれる。
- TCP や BGP のような他のネットワークプロトコルを破り、攻撃対象のドメインに送られるメールへアクセスする権限を奪う。
- 政府は認証機関に対して、どのようなドメインについても偽物の証明書を発行させる権限があったようだ。そのような証明書が発行されたのではないかと推定できる証拠が幾つかある。それに、認証機関は 52 を超える国々にあり、中には権威主義の甚だしい国も含まれるので、こんなことが可能な政府はたくさんあってもおかしくない。さらには、政府というものは、他の国の認証機関に対して上記で述べたようなネットワーク攻撃を簡単に行えるものである。
要するに、ウェブサイトがあらゆることを正しく行っていたとしても、HTTPS/TLS/SSL を破る方法はいまやたくさんあるということだ。現在の実装を鑑みるに、ウェブのセキュリティプロトコルは、時間とモチベーションに限りがある攻撃者たちから身を守るのに十分だと思えるかもしれないが、コンピュータシステムのセキュリティに対する攻撃をかわしながら、地政学あるいはビジネスでの競争を拡大させていく世界の状況にとって、十分とは言い難いのである。
どれくらいの頻度で攻撃されているのか
2011 年度の USENIX セキュリティシンポジウムで、ジェシー・バーンズと私は、SSL Observatory で特定した認証機関から発行された全ての証明書失効リスト (CRL)から学べることについて、幾つかの点を報告した。
証明書失効リストの X.509 形式がもつ興味深い特徴の一つは、失効した証明書には失効理由を記載する項目があるということだ。先週の時点で、それまでに Observatory によって見ていた全ての証明書失効リストをくまなく調べたところ、以下のような記録が分かった。
+------------------------+------------+ | reason | occurences | +------------------------+------------+ | NULL | 921683 | | Affiliation Changed | 41438 | | CA Compromise | 248 | | Certificate Hold | 80371 | | Cessation Of Operation | 690905 | | Key Compromise | 73345 | | Privilege Withdrawn | 4622 | | Superseded | 81021 | | Unspecified | 168993 | +------------------------+------------+
このテーブルでいちばん興味深い項目は、"CA compromise"(認証局の侵害)だ。なぜなら、認証局の侵害はインターネットを介する全てのセキュアなウェブサーバやメールサーバに影響を及ぼし得る事故(情報セキュリティインシデント)だからだ。少なくとも 248 の事例において、それぞれの認証局は証明書を失効させる理由として認証局の侵害を選んだのであった。このような表明は 15 の異なる認証機関によって発行されている。これに対して、本年の 6 月に行った前回の調査では違う数字が出ていたので見てみよう。
+------------------------+------------+ | reason | occurences | +------------------------+------------+ | NULL | 876049 | | Affiliation Changed | 27089 | | CA Compromise | 55 | | Certificate Hold | 52786 | | Cessation Of Operation | 700770 | | Key Compromise | 59527 | | Privilege Withdrawn | 4589 | | Superseded | 66415 | | Unspecified | 174444 | +------------------------+------------+
6 月時点で証明書失効リストに記載されていた「認証局の侵害」という項目は、10 の異なる認証機関によって発行されていた。それゆえ、このデータから我々が言えることは、少なくとも 5 つの認証局がここ 4 ヶ月のあいだにセキュリティ侵害を経験したか、あるいは他の認証機関によってセキュリティ侵害を発見されたということが言えそうである。繰り返すと、これらの事故はどれも HTTPS を利用する全てのウェブサイトのセキュリティを破壊してしまいうる事故なのである。
それから、証明書の失効理由を時間の関数として検討してみると興味深いことがわかる。
おおよそ、この図は HTTPS/TLS が配備される膨大な数の成長の度合いを反映していて、これは認証のメカニズムが実装されていく伸びでもある。認証局システムと TLS 認証の問題は仕組み自体から再考しなければ解決しない急を要するものではあるが、それらはどれも解決しうる問題である。そこで、これから公開していく一連の記事では、認証局システムを強化するための EFF からの提案をつくってゆく。それによって、最大限のセキュリティを要するウェブサイトやメールシステムは、現行の認証局が攻撃によって侵害されても自らを守れるようになるだろう。