ブログ

SSL はあなたのビジネスにマルウェアを密輸していますか?

ゲイリー・ニューサムネイル
ゲイリー・ニュー
2015 年 10 月 21 日公開

私たちは皆、オンライン通信を保護する重要な暗号化キットである SSL について知っています。 これは、私たちが使用する Web ブラウザと、この Web サイトのような Web サイトがホストされているサーバー間の通信を保護します。 安全な Web サイトかどうかは、南京錠のシンボルや、アドレスに HTTPS が使用されているかどうかで判断できます。

一般的に言えば、SSL は良いものです。 銀行取引やオンライン ショッピングなど、金融情報に関わる取引では、SSL を使用して情報を非公開にします。 しかし最近では、ユーザー名とパスワードの組み合わせや財務データを含むトラフィックだけでなく、すべてのインターネット トラフィックを SSL で保護する動きがあります。 エドワード・スノーデンによる世界規模の大規模監視の暴露など、注目を集めるニュースは、より多くのユーザーがオンラインでの暗号化を求めていることを意味しており、プロバイダーは喜んでそれに応じます。

そのため、その使用は増加しており、Google、Amazon、Facebook など、世界で最も人気のある Web サイトのほとんどで、SSL 暗号化を提供する HTTPS がすべてのトラフィックに対してデフォルトでオンになっています。 2015 年末までに世界のインターネット トラフィックの半分以上が暗号化されると予測されています。 (主な理由は、インターネット トラフィックの大部分を占め、HTTPS に切り替えている Netflix によるものです。)

しかし、インターネット トラフィックを暗号化することで機密データがさらに保護されることは間違いありませんが、実際には企業にとってリスクが増大します。 これは、多くの企業のセキュリティ デバイスが暗号化されたトラフィックの内容を認識しないため、マルウェアが検出されずに侵入される可能性があるからです。

ファイアウォール、Web ゲートウェイ、侵入防止システムなどでは、暗号化されたトラフィック経由で到達するマルウェアを検出するのが困難な場合があります。 サイバー犯罪者が、安全であるとされる取引の中にマルウェアを隠すことができれば、企業にとっては悪夢となる可能性があります。 これは双方向に作用します。マルウェアは検出されずに侵入するだけでなく、ほとんどのセキュリティ ツールでは検出できない暗号化されたトランザクションで機密情報をコントローラーに送り返すこともできます。

その一例がDyre バンキング マルウェアです。 報道によると、このマルウェアは暗号化が開始される前に情報を盗み、正当な暗号化トラフィックを装ってコマンドアンドコントロールサーバーに送り返す能力があったという。 重要なのは、南京錠のシンボルが表示されているためセッションは安全に見えますが、舞台裏では機密データが収集されていることです。

実際、怪しいウェブサイトはドライブバイマルウェアを配信する可能性がありますが、セッションが暗号化されている場合、セキュリティツールはトラフィックの実際の内容や送信先を判断できません。 プロキシ サーバーや URL フィルタリング ゲートウェイなどのデバイスは、これをまったく認識しません。

これは企業が直面している非常に現実的な問題です。 ガートナーの数字によると、ファイアウォール、IPS、または UTM を使用している組織のうち、SSL トラフィックを復号化できるのは 20% 未満であり、SSL トラフィック内に隠されたマルウェアはこれらのセキュリティ プラットフォームを回避できることになります。 ガートナー社はまた、2017 年までに企業を標的とするネットワーク攻撃の 50% 以上が SSL を使用してセキュリティを回避すると主張しています。

企業は、暗号化されたトラフィック内に隠れているマルウェアに巻き込まれないようにするにはどうすればよいでしょうか? 簡単な答えは、そのトラフィックを復号化することですが、プライバシーを侵害したり、機密データを攻撃にさらしたりせずに、それをどのように行うかが問題となります。

したがって、どのトラフィックを復号化する必要があるかを知ることが問題になります。 企業が外部のユーザーにコンテンツを提供する場合、何らかのデバイスを使用してサーバーから SSL トラフィックをオフロードし、トラフィック フローに保護を挿入する必要があります。 これにより SSL が破られますが、賢い方法で破られます。銀行のセッションを復号化する必要はありませんが、Facebook セッションの場合は復号化する必要があります。

セキュリティには、トラフィックがどこに向かっているかを理解し、それを復号化するか、そのままにしておくかを決定するインテリジェンスが必要です。 SSL を破っていますが、安全かつインテリジェントな方法で行われています。