不正なSSL証明書で中間者攻撃の恐れ。モバイルアプリも注意が必要

2014.02.14 三和コムテック

インターネットサービス事業者のNetcraftは、オンラインバンキングや電子商取引、ソーシャルネットワーキングなどのWebサイトを標的とした不正なSSL証明書がインターネット上に多数存在していることが分かったと発表しました。モバイルアプリではSSL証明書のチェックが適切に行われないケースも多く、通信に割り込む「中間者攻撃」に利用される恐れがあると警告しています。

Netcraftによると、不正なSSL証明書は各国のWebサーバなどから見つかっており、中にはFacebookやGoogle、Apple iTunesなどを標的としたものもあったそうです。こうした不正証明書には信頼できる認証局の署名が入っておらず、主要Webブラウザでは有効とはみなされません。しかし、オンラインバンキングなどはWebブラウザ以外のアプリなどからのトラフィックが増えており、こうしたアプリではSSL証明書の適切なチェックが行われない可能性があります。

実際、IO Activeや学術機関が行った調査では、iOS向けのバンキングアプリの40％、Androidアプリの41％で、SSL証明書の認証に不備があるという結果も出ているそうです。

中間者攻撃は不正な証明書だけでは実行できないものの、例えば不正な無線LANを設定するなどの手口を組み合わせれば、オンラインバンキングのトラフィックに介入して通信の暗号を解除し、サインオン情報を盗んだり、金額や振込先を操作することができてしまう恐れもあるとNetcraftは指摘しています。

http://www.itmedia.co.jp/news/articles/1402/14/news043.html