2020年、サーバ証明書はどう変わる? DigiCert担当者に聞いてみたセキュリティ・アディッショナルタイム(40)

DigiCertが2020年1月に年次カンファレンス「DigiCert 2020 Security Summit」を開催。DigiCert、そしてWebブラウザのベンダーや電子証明書発行サービスを提供する事業者からなる業界団体であるCA/Browser Forumの取り組みを聞いた。

» 2020年03月05日 05時00分 公開
[高橋睦美@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 今、WebサイトのHTTPS化が進んでいる。HTTPのままのサイトを「Google Chrome」「Mozilla Firefox」「Apple Safari」といった主要なWebブラウザで表示すると「保護されていない通信です」「安全ではありません」と表示されるようになったこともあって、一足先に進んでいた米国はもちろん、日本も含めグローバルで7〜8割に達する状況だ(参考)。

 にもかかわらず、フィッシング詐欺は相変わらず横行している。ECサイトや通信事業者のサポートを装うなど、ソーシャルエンジニアリングを悪用してフィッシングサイトに誘導する手口は減る気配を見せない。

 ふた昔前のように、WebサイトがHTTPS化されて、Webブラウザ上に鍵のアイコンが表示されているからといって、安心できる時代ではなくなってしまった。サイバー犯罪者側も無料のWebサーバ証明書サービスを利用して、手軽にサイトをHTTPS化できるからだ。確かに通信は暗号化されるが、それは、通信相手が意図した通りの正しい相手であることを保証するわけではない。

DigiCertの事業開発担当シニアディレクター、Dean Coclin氏

 DigiCertの事業開発担当シニアディレクター、Dean Coclin氏は、2020年1月に開催した年次カンファレンス「DigiCert 2020 Security Summit」のセッションの中で、次のように話した。

 「デバイスの多様化やクラウドコンピューティングの普及を背景に、『プライバシーをどう保つか』が重要な課題になっている。Webの匿名性は重要なことだが、一方で『取引しているのが正しい相手か』『ネットワークに加わってきたIoTデバイスは正しいものか』を確かめるのが困難になっており、サイバー犯罪者はこの状況を悪用している」

 こうした事態に対し、DigiCertは、そしてWebブラウザのベンダーや電子証明書発行サービスを提供する事業者からなる業界団体であるCA/Browser Forumはどのように取り組もうとしているのだろうか。Coclin氏に尋ねた。

次々と変化しているWebブラウザの表示

 Webサーバ証明書には3つの種類がある。認証レベルの簡単な順に、「ドメイン認証(DV)」「企業認証(OV)」、そして「EV」だ。

 このうちEVサーバ証明書は、フィッシング詐欺の被害が増加してきたことを背景に登場した、より信頼性の高い証明書で、証明書発行先の組織・団体の実在性を確認するなど厳密な手続きに沿って発行される。またWebブラウザ側もEV証明書を導入したWebサイトについては、通常の鍵マークに加えアドレスバーを緑色にして表示し、ユーザーに安全なサイトであることを知らせる仕組みだった。

 「EVサーバ証明書の仕組みや鍵マークは、5年前には良い取り組みだった。しかし、もはやそうとはいえない。サイバー犯罪者もこれらの仕組みに『タダ乗り』している。そしてWebブラウザのベンダーと、証明書を発行する認証局側が協調してより良い仕組みを整えるとともに、その取り組みについてコンシューマーに啓蒙(けいもう)していくことが重要だ」(Coclin氏)

 例えば今、「Microsoft SmartScreen」「Google SafeBrowser」のように、フィッシングサイトをフィルタリングする機能がWebブラウザに実装されるようになっており、これらを活用することも一つの手だ。ただ「最近では悪意あるサイトも、ほんの1〜2日だけ立ち上がって情報や金銭を詐取しては次のサイトを用意するといった具合に素早く動くため、より多くの情報を見て精査していかなければならないだろう」とCoclin氏は述べた。

 EVサーバ証明書については2019年、ChromeやFirefoxといった複数のWebブラウザで表示が変更された。アドレスバーの先頭に表示されていた組織名がなくなり、鍵マークをクリックすることではじめて、「その証明書がどの組織に対して発行されたか」(エンティティ)やロケーションといった詳細情報が表示されるように変更されている。Coclin氏は「こうした表示方法の変更について、コンシューマーに広く知らせていくことが重要だ」とした。

FirefoxにおけるEVサーバ証明書について

 また、HTTPサイトの表示方法もどんどん変化している。HTTPS化が急速に進んでいる理由をCoclin氏は、「Webサイトが増えたから? そうではない。主にWebブラウザ側の取り組みにより、自社サイトが『安全ではありません』と表示されるようになった。このままではユーザーがアクセスしなくなってしまうと考えたため、多くのサービスがHTTPS化している」とした。「Let's Encrypt」の登場によって、電子証明書を無料で入手できるようになったことも大きな要因だろう。

 既に「このサイトは安全ではありません」と文字で表示されるだけではなく、鍵マークに赤線が引かれるなど、ユーザーへの注意喚起が目立っているが、今後もその取り組みは進む予定だ。アドレスバーが赤色で表示されたり、アドレスバーではなくポップアップウィンドウで「このサイトは安全ではありません」と警告が表示されたりと、警告のステップが上がっていく予定だという。

 「世界のどの国に行っても、赤字に大きな文字で記された交通標識を見れば『止まれ』を意味し、ブレーキを踏むだろう。これと同じように、ユニバーサルに理解できるユニバーサルなサインが必要だ。同時にそれをユーザーに伝えていく努力が必要だ」(Coclin氏)

Webやメールの信頼を成り立たせるために提案されている新たな取り組み

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。