ベリサインがセッションハイジャック対策として推奨

Webサイト常時SSL化のススメ

2012/03/28

 ログインや入力フォームなどが含まれないページも含め、Webサイト全体のSSL化を検討してほしい――日本ベリサインは3月28日、常時SSL(Always-on SSL)に関する説明会を開催した。

 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏は、「Webサイトのセキュリティはクリティカルな問題になっている」と述べ、主に2つの攻撃シナリオがあると説明した。

 1つは、正規のWebサイトが攻撃者に乗っ取られて、アクセスしてきたユーザーにマルウェアを仕込んでしまうケース。もう1つは、通信経路で盗聴した情報によるなりすまし(セッションハイジャック)だ。

 特に後者の問題に対する「簡単かつコスト効率に優れた解決策が、常時SSLだ」(グリックマン氏)という。すでに、FacebookやTwitter、Google、PayPalといった大手Webサービス企業は、常時SSLの導入に踏み切った。日本では、Google.co.jpが3月から常時SSLを導入しているほか、ネット証券サービスの野村ネット&コール(旧ジョインベスト証券)が対応しているという。

Cookie盗聴によるなりすましのリスクに対処

 ベリサインが常時SSLを推奨する理由は、前述の通りセッションハイジャック対策だ。このセッションハイジャックが発生する背景には、ユーザーを識別する情報を格納し、セッション管理に使われる「Cookie」が、いまだに適切に扱われていないことがあるという問題がある。

verisign01.jpg 米シマンテック シマンテックトラストサービシズ プロダクトマーケティング シニアディレクターのロブ・グリックマン氏

 多くのWebサイトでは、ユーザーのセッション情報を追跡するためにCookieを利用している。しかし、Webサイトの中にHTTPのページとHTTPSのページが混在しており、このCookieにSecure属性が設定されていない(=HTTP経由でCookieが送信可能になってしまう)場合、あるいは有効範囲が適切に設定されていない場合は、ちょっとまずいことになる。HTTPSで保護されているページ用に発行したCookie情報が、暗号化で保護されていないHTTPのページにも送られてしまうからだ。

 もし、この状況で誰かが通信内容を盗聴していれば、Cookieの内容まで把握できてしまう。その誰かがCookie情報をセットして対象サイトにアクセスすれば、なりすましの完了だ。特に、通信の盗聴が容易な公衆無線LANサービスなどを利用している場合、セッションハイジャックの危険性は高くなる。

 グリックマン氏は、Cookie情報を読み取り、誰でもセッションハイジャックを行えるFirefoxのアドオンツール「Firesheep」の登場で、リスクがいっそう顕在化したと説明した。

verisign02.jpg

 こうした危険性を踏まえ、OTA(Online Trust Allance)などの業界団体では常時SSL化を推奨しているという。グリックマン氏も、「すべてのページでHTTPSを利用し、セキュアなCookieを利用すること」を挙げた。同時に、信頼できる認証局が発行するSSL証明書を導入すること、パッチの適用をはじめとする基本的なセキュリティ対策を取ることも必要だという。

「処理が重くなる」のは昔の問題

 とはいえ昔からSSLになじんでいた人ほど、常時SSL化によるサーバ負荷の増大やパフォーマンスの劣化、コストが気になるだろう。

 しかし、マルチコアCPUをはじめコンピューティングリソースが格段に向上した現在、そうした問題は解決できていると、日本ベリサインのSSLプロダクトマーケティング部 上席部長 安達徹也氏は述べた。SEOへの影響も「中途半端にHTTPとHTTPSが混在していると生じるが、きちんと常時SSLを導入すればむしろ効果的になる」という。

 ただ、サードパーティが提供するコンテンツを埋め込んでページを生成している場合、「保護されている項目と保護されていない項目が含まれている」旨を示す警告が表示されることになる。これは「サードパーティも含め、すべてのサイトにHTTPS対応してもらう方向で解決していければ」(安達氏)という。

 安達氏はさらに、HTTPのページとHTTPSのページとでそれぞれ別のCookieを発行したり、URLごとにCookieの有効範囲や属性を定義するよりも、常時SSL化する方がメンテナンスの手間も省けると指摘。サイト運営者にはぜひ、常時SSLによって、セッションハイジャックのリスクに対応してほしいと説明した。

 なお、OTAが発行した「常時SSLによるWebサイトの保護」というホワイトペーパーではさらに、安全な開発ライフサイクルに基づいてWebサイト/Webアプリケーションを構築していると費用対効果が高くなること、HSTS(HTTP Strict Transport Security)という選択肢もあることなどに触れている。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH