不正なSSL証明書で中間者攻撃の恐れ。モバイルアプリも注意が必要

2023.06.06 岡山大

インターネットサービス事業者のNetcraftは、オンラインバンキングや電子商取引、ソーシャルネットワーキングなどのWebサイトを標的とした不正なSSL証明書がインターネット上に多数存在していることが分かったと発表しました。モバイルアプリではSSL証明書のチェックが適切に行われないケースも多く、通信に割り込む「中間者攻撃」に利用される恐れがあると警告しています。

Netcraftによると、不正なSSL証明書は各国のWebサーバなどから見つかっており、中にはFacebookやGoogle、Apple iTunesなどを標的としたものもあったそうです。こうした不正証明書には信頼できる認証局の署名が入っておらず、主要Webブラウザでは有効とはみなされません。しかし、オンラインバンキングなどはWebブラウザ以外のアプリなどからのトラフィックが増えており、こうしたアプリではSSL証明書の適切なチェックが行われない可能性があります。

実際、IO Activeや学術機関が行った調査では、iOS向けのバンキングアプリの40％、Androidアプリの41％で、SSL証明書の認証に不備があるという結果も出ているそうです。

中間者攻撃は不正な証明書だけでは実行できないものの、例えば不正な無線LANを設定するなどの手口を組み合わせれば、オンラインバンキングのトラフィックに介入して通信の暗号を解除し、サインオン情報を盗んだり、金額や振込先を操作することができてしまう恐れもあるとNetcraftは指摘しています。

http://www.itmedia.co.jp/news/articles/1402/14/news043.html

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む