95%のHTTPSサーバが中間者攻撃に対して脆弱 - Netcraft

後藤大地  [2016/03/21]

Netcraft - Internet Research, Anti-Phishing and PCI Security Services

インターネットサービス企業Netcraftはこのほど、「95% of HTTPS servers vulnerable to trivial MITM attacks|Netcraft」において、HTTPSサーバのうちHTTPへのアクセス拒否を伝達する機能である「HSTS(HTTP Strict Transport Security)」を実装したものが5%にすぎないと指摘するとともに、残り95%はこの機能の不在を突いたフィッシング攻撃、ファーミング攻撃、中間者攻撃などを受けやすい状態にあると指摘した。

HTTPSによる通信はオンラインバンクなど重要性の高い情報を安全にやりとりするための要となる機能として活用されている。業界全体としてHTTPSを普及させる取り組みが進められているが、HSTSポリシーが強制されていないことが、セキュリティ上、脆弱な状態を作り出しているとNetcraftは指摘している。

オンラインバンクなどの高いセキュリティが必要となるサービスではHTTPSでの通信が提供されているが、こうしたサイトではユーザーのアクセス性を向上させるためにHTTPでのアクセスも提供している。HTTPでアクセスを試みるとHTTPSへリダイレクトされるわけだが、こうした状況が中間者攻撃を受けやすい状況を生み出していると説明がある。攻撃者は最初のHTTPリクエストをハイジャックし、HTTPSへのリダイレクトを阻害するとのことだ。

HTTPトラフィックをハイジャックしてHTTPSへのリンクをHTTPへ置き換えるといった処理を自動的に実施するツールがすでに存在しており、注意が必要だ。Netcraftでは適切にHSTSポリシーを設定することでこうした危険性を低減できるとし、その設定もHTTPレスポンスヘッダに適切な項目を追加するだけだと説明している。最近の主要ブラウザはHSTSの機能を実装しているものの、サーバ側でのサポートが5%にとどまっているため、HSTSの活用を推奨している。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

CORSAIR、「ニンジャスレイヤー」×「歌謡タイピング劇場」キーボード
[09:00 5/29] パソコン
イーサプライ、スマホをセットして3D映像を楽しむVRゴーグル
[09:00 5/29] パソコン
【レビュー】海外の"やりすぎ"料理に挑戦! ピザやハンバーガーを揚げるとおいしいの?
[09:00 5/29] 趣味
ダニエル・クレイグ、『ローガン・ラッキー』出演に向けて最終交渉
[09:00 5/29] エンタメ
モンテール、糖質を抑えたプチシューやキレートレモンとのコラボゼリー発売
[09:00 5/29] ヘルスケア

特別企画 PR

求人情報