COMWARE PLUS プラス・サムシングを大切なお客さまへ

メールマガジンのご登録
セキュリティーQ&A
セキュリティーQ&A
ポスト

回答サマリー

すでに非推奨のSSLは無効にして、最新版のTLSへの移行は必須

「SSL(Secure Sockets Layer)」「TLS(Transport Layer Security)」は、インターネットで通信を行う際に、安全に情報をやり取りする際に利用する暗号化の技術です。

「SSL」や「TLS」の一部バージョンは、2014年ごろより専門家から重大な脆弱性が指摘されており、脆弱性が存在するバージョンをそのまま利用し続けることは大きなリスクです。利用環境を確認し、必要に応じて安全な環境へ移行する必要があります。

回答詳細

暗号化技術SSL、TLSは、複数の脆弱性発見により注目

「SSL(Secure Sockets Layer)」「TLS(Transport Layer Security)」は、インターネットで通信を行う際に、安全な情報のやり取りにおいて必須とされている「暗号化の技術」で、個人情報や機密情報などのやりとりで日常的に利用されています。

29_img01.gif

「SSL」といえば、「SSL証明書」は多くの方が耳にしたことがあるでしょう。オンラインバンキングやeコマースサイトなどをはじめ、盗聴や改ざんなどからデータを保護するため、公的な認証局が発行した「SSL証明書」を用いています。

インターネット黎明期より「SSL」が利用されてきましたが、「SSL 3.0」の後継として「TLS」が登場しました。「SSL」に対応した環境が依然として残っているものの、最近はより安全な「TLS」が用いられています。しかし、長らく「SSL」という名称を用いてきたため、便宜的に「SSL証明書」と呼ばれることも多い状況です。「SSL/TLS」と併記される場合もあります。

重要な情報をインターネットのWebサイトと通信する際、Webブラウザーのアドレスバーを見ると、通信プロトコルが「https」となり、Webブラウザー上に鍵マークが表示されるのはご存じでしょう。逆にいえば、プロトコルが「http」のままで、鍵マークが出ていなければ、安全な通信が行われていないことになります。

表示された鍵マークをクリックすると、どのような証明書を利用しているか確認できます。組織の実在証明も行うことで、より安全とされる「EV SSL証明書」もあります。

また通信に「SSL」や「TLS」が用いられるのは、Webサイトとの通信に限りません。メールの送受信においても、「POP over SSL/TLS」「SMTP over SSL/TLS」「IMAP over SSL/TLS」「FTP over SSL/TLS」などが、サーバーとクライアント間の安全な通信を確保するため、活用されているのです。

従来から広く利用されており、目新しい技術ではありませんが、最近はセキュリティー関連のニュースで「SSL」「TLS」の話題を見かけることが増えました。関連する脆弱性が判明したことで、これらキーワードとともに注目されているのです。

次々と明らかになった脆弱性

近年、次々と「SSL」に関する問題が明らかとなりました。大きな影響を与えた脆弱性の一つに、2014年10月にGoogleの研究者が公表した「POODLE(Padding Oracle On Downgraded Legacy Encryption)」があります。

これは中間者攻撃により暗号化通信の一部内容が解読される恐れがある脆弱性です。「SSL 3.0」を利用している場合、安全な通信ができないことが示され、これにより「SSL」の暗号化通信は非推奨となりました。また「TLS」を利用していたとしても、「TLS」と「SSL 3.0」の両方に対応していると、弱いプロトコルへダウングレードさせることにより攻撃が可能でした。

くわえて広く利用されているオープンソースの暗号ソフトウェアライブラリ「OpenSSL」にも次々と脆弱性が指摘されています。

サーバーのメモリー上のデータを取得され、通信内容が解読される恐れがある「Heartbleed」。「TLS 1.2」に対応しているにもかかわらず、古い脆弱なRSA鍵で通信させられてしまう「FREAK(Factoring RSA Export Keys)」。さらに2016年に入ってからも「SSL 2.0」に対応したサーバーにおいて通信内容が解読され、同じ証明書を利用する「TLS」の通信も解読される恐れがある「DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)」の脆弱性が判明しています 。

なお、SSLはバージョン3.0を最後に、2015年6月に使用を禁止され、TLSへの移行が進められています。TLSの最新バージョンは1.2ですが、2016年1月に1.3の草稿が提案されました。正式版の1.3がリリースされた場合は速やかな更新が望まれます。

次ページ 安全な暗号化通信の環境を整える

ポスト

関連リンク一覧

企業を狙い始めたランサムウェアにどう対処すれば良いのか

リンクセキュリティー

PCI DSSの認定を受けるメリットは何?

リンクセキュリティー

事例紹介

スマートフォン用リンク

エバンジェリストが語るICTの未来

スマートフォン用リンク

ページトップへ

トップへ