NASAサイトに対する攻撃から得るべき教訓とは？

[鈴木聖子，ITmedia]

　イランのハッカーを名乗る集団が、米航空宇宙局（NASA）のWebサイトに中間者攻撃を仕掛けて侵入することに成功したと公言しているという。米セキュリティ機関のSANS Internet Storm Centerが5月31日のブログで伝えた。

　SANSによると、この集団はスキャンツールを使ってNASA傘下のWebサイトでSSLの設定ミスを探し、無効な証明書が使われているWebサイトを発見。同サイトを通じて中間者攻撃を仕掛け、ユーザーネームとパスワードを入手したという。

　今回の事件から内部の目立たないWebサイトであっても、「自己署名証明書や期限切れの証明書を使うべきではない。これを教訓にすべきだ」とSANSは指摘。重要性の低いWewbサイトに有効な証明書を使うのは手間やコストがかかり過ぎるとの声もよく聞かれるが、SSLによる暗号は証明書が有効であって初めて機能すると強調している。

　また、問題サイトはインデックスページにSSLが使われていないという問題もあったと述べ、企業などが運営するWebサイトでSSLが適切に設定されているかどうかを再確認することの重要性を説いている。