ニュース
» 2014年02月14日 07時47分 UPDATE

不正なSSL証明書で中間者攻撃の恐れ、モバイルアプリは特に危険

モバイルアプリではSSL証明書のチェックが適切に行われないケースも多く、不正な無線LANなどと組み合わせれば、オンラインバンキングなどに介入される恐れもあるという。

[鈴木聖子,ITmedia]

 インターネットサービス事業者のNetcraftは、オンラインバンキングや電子商取引、ソーシャルネットワーキングなどのWebサイトを標的とした不正なSSL証明書がインターネット上に多数存在していることが分かったと伝えた。モバイルアプリではSSL証明書のチェックが適切に行われないケースも多く、通信に割り込む「中間者攻撃」に利用される恐れがあると警告している。

uc01.jpg
uc02.jpg 不正な証明書の一例(Netcraftより)

 Netcraftによると、不正なSSL証明書は各国のWebサーバなどから見つかっており、中にはFacebookやGoogle、Apple iTunesなどを標的としたものもあった。こうした不正証明書には信頼できる認証局の署名が入っておらず、主要Webブラウザでは有効とはみなされない。しかし、オンラインバンキングなどはWebブラウザ以外のアプリなどからのトラフィックが増えており、こうしたアプリではSSL証明書の適切なチェックが行われない可能性がある。

 実際、IO Activeや学術機関が行った調査では、iOS向けのバンキングアプリの40%、Androidアプリの41%で、SSL証明書の認証に不備があるという結果も出ているという。

 中間者攻撃は不正な証明書だけでは実行できないものの、例えば不正な無線LANを設定するなどの手口を組み合わせれば、オンラインバンキングのトラフィックに介入して通信の暗号を解除し、サインオン情報を盗んだり、金額や振込先を操作することができてしまう恐れもあるとNetcraftは指摘している。

関連キーワード

SSL | 不正 | サーバ証明書 | 中間者攻撃


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -