不正なSSL証明書で中間者攻撃の恐れ、モバイルアプリは特に危険

[鈴木聖子，ITmedia]

　インターネットサービス事業者のNetcraftは、オンラインバンキングや電子商取引、ソーシャルネットワーキングなどのWebサイトを標的とした不正なSSL証明書がインターネット上に多数存在していることが分かったと伝えた。モバイルアプリではSSL証明書のチェックが適切に行われないケースも多く、通信に割り込む「中間者攻撃」に利用される恐れがあると警告している。

不正な証明書の一例（Netcraftより）

　Netcraftによると、不正なSSL証明書は各国のWebサーバなどから見つかっており、中にはFacebookやGoogle、Apple iTunesなどを標的としたものもあった。こうした不正証明書には信頼できる認証局の署名が入っておらず、主要Webブラウザでは有効とはみなされない。しかし、オンラインバンキングなどはWebブラウザ以外のアプリなどからのトラフィックが増えており、こうしたアプリではSSL証明書の適切なチェックが行われない可能性がある。

　実際、IO Activeや学術機関が行った調査では、iOS向けのバンキングアプリの40％、Androidアプリの41％で、SSL証明書の認証に不備があるという結果も出ているという。

　中間者攻撃は不正な証明書だけでは実行できないものの、例えば不正な無線LANを設定するなどの手口を組み合わせれば、オンラインバンキングのトラフィックに介入して通信の暗号を解除し、サインオン情報を盗んだり、金額や振込先を操作することができてしまう恐れもあるとNetcraftは指摘している。