第494号コラム:上原 哲太郎 副会長
(立命館大学 情報理工学部 セキュリティ・ネットワークコース 教授)
題:「常時SSL/TLS通信のもたらすもの」

インターネットはかつて、通信に関しては原則として暗号化はオプションであって必須としないという方向で標準化されてきました。電子メールもWebも、基本となるプロトコルは全て暗号化も利用者認証もない状態で標準化されており、パスワード送信など限られた重要な場面でのみ通信路を暗号化するという方向で運用されてきました。ところが、インターネットにおける標準を事実上決めているIETFでは、このところ通信の全てを暗号化しようとする議論が盛んです。その流れを作ったのは2013年のPRISM騒動でした。Edward Snowden氏が米国NSAの広範な諜報活動を告発したことにより、国家権力による通信監視が現実の脅威であるという危機感がIETFを覆ったのです。それから4年ほどの間に、さまざまな通信を国家権力からの監視から護るための標準が提案されました。そして、既に暗号化技術がオプションとして提供されていた通信プロトコルについては、常時暗号化しようとする動きが強まったのです。

中でも影響が大きかったのは、Webの転送プロトコルであるHTTPと、電子メールの転送プロトコルであるSMTPを、SSLを用いて常時暗号化する動きが広まったことでしょう(厳密にはSSLの後継であるTLSが使われていますが、SSLの方が広く知られた言葉であるためここではSSLで統一します)。特に最も積極的な動きを見せたのがGoogleです。Googleは顧客保護を掲げて自社のWebサービスを全てSSL化し、常時HTTPSで利用者に提供するとともに、他のWebサービス企業にも広く、また、IETFに対しては矢継ぎ早に独自の標準化規格を提案してきました。特に野心的なのはTCPそのものを置き換えるWeb向きのトランスポートプロトコルQUICの提案と、危殆化したストリーム暗号RC4の代替としてのChaCha20の提案、そしてメッセージ認証符号Poly1305の提案です。彼らはこれらを提案するだけでなく、実際にコードを書いて公開し、彼らのクラウド基盤およびWebブラウザChromeにこれらを実装してみせたのです。IETFは文化的に「細部までよく練られた標準化文書」よりも「実際に動くコードと実装」を重んじる場所ですので、Googleほどのシェアを持つサービスとChromeほどのシェアを持つブラウザで安定的に動作している規格を標準化しない理由はありませんでした。SSL/TLSの次世代規格であるTLS1.3では、これらGoogle主導の規格が漏れなく含まれた標準化がなされる予定です。ただ、個人的にはこの動きには一抹の不安を感じています。特に、ChaCha20やPoly1305は提案されてからの日が浅く、まだ学術界において十分な安全性評価を経て信頼を得たと言える状況には至っていません。現在、我が国でもCRYPTRECにおいてこれらの暗号技術に対する評価を続けており、一定の安全性が確認されつつありますが、それでも既に信頼と長い実績があるストリーム暗号が他にもある中で、何故新規提案されたChaCha20を採用する方向に議論がまとまったのかについては「天才Daniel Bernsteinが設計したChaCha20を、巨人Googleが採用したから」というのが実際の理由という状況です。

さて、このような流れの中で、Googleに倣って多くのWebサイトが常時SSL化、つまりパスワード等の送信やメールの閲覧のようにユーザに関わる情報がHTTPS対応に動いています。他でもない本研究会のWebサイトも常時SSL化済みです。このこと自体は決して悪いことではないのですが、WebサイトのセキュリティにとってSSLは極一部のリスクしか軽減してくれません。SSLとPKIが正しく運用され、利用されていたとしても、利用者にとって保証されるのは「現在閲覧中のWebページのURL(のうちホスト名部分)が詐称されていないこと(サーバ認証)」と、「サーバとWebブラウザ間の通信が通信経路上で盗聴されないこと(通信路暗号化)」の2点でしかありません。まして、Webサーバ側の不正アクセス防止、改ざん防止にはほとんど役立ちません。

ところが、先日、SSLが使われていないがために政府サイトが改ざんリスクに晒されているかのような記事が出回ってしまいました。

日本経済新聞 2017/12/3「中央省庁サイト、8割に改ざん・盗み見リスク」

記事の趣旨としては、日本の省庁Webサイトの多くがまだ常時SSL化されていないこと、米国では多くの政府機関サイトが常時SSL化を果たしていること、Chromeが常時SSL化されていないサイトに対し「保護されていない」という警告を出すようになったこと(ここには書きませんが実際にはかなり細かい要件があります)、AndroidやiOSのアプリケーションがHTTP通信のSSL化を必須としつつあることが書かれています。しかしよく読めば分かるように、書かれていることはSSL化されていないことによって中間者攻撃が可能になり、結果としてサイトが改ざんされたように「見える」ことを指摘しているに過ぎません。ただ言葉遣いが「改ざんのリスクがある」と丸めてしまっているために、大きな誤解を生んでいます。

実際、ごく最近そんな誤解に基づく記事が出回ってしまいました。

週刊現代2017年12月23日号『ガバガバすぎる中央省庁の「サイバー対策」8割がこんな状態とは…』

この記事の主旨は実は政府の情報システムに対するガバナンスの弱さを揶揄するもので、それ自体には正当な批判も含んでいると感じるのですが、表題については論評にも値しません。政府サイトの多くは国民に対する広報がその主な役割であり、内容の改ざんがないことが何より大切です。そう考えると最も重視すべきリスクはWebサーバへの不正アクセスであり、対策として最も重要なのは脆弱性管理やサーバ管理者権限の管理でしょう。現在の状況で攻撃者が中央省庁サイトの改ざんを狙うとすれば、水飲み場攻撃に利用するか、ハクティビスムに基づく示威行動だろうと思われることを考えても、まずは不正アクセスを防ぐことが大切です。ところが、SSL化によって防止できるのは中間者攻撃による改ざん防止のみです。Webサイトを改ざん「したように見せる」ための中間者攻撃は公衆無線LAN接続など限られた状況でしか容易ではありませんので、攻撃者にとっては効率が悪く、よほどのことがない限り攻撃に使われることはないと考えられます。つまり常時SSL化が成されていないことをもって中央省庁Webサイトのサイバー対策が「ガバガバすぎる」とはとても言えないでしょう。

この他にも、政府をはじめとする公共サイトの常時SSL化には諸手を挙げて賛成できない面があります。SSLの設定には様々なバリエーションがあり、国民のブラウジング環境もまた様々なものがあり得る中で、公共サイトにとって「正しい」設定がどうあるべきかについては議論があります。一般にSSLの設定は高セキュリティを求めるほど対応出来るブラウザが減りますので、一気に政府省庁サイトを高セキュリティ設定の常時SSLに移行させると、古いブラウザ等では閲覧が不可能になる恐れがあります。もちろん国民のブラウジング環境をより新しい、セキュアなものに導くという面ではよい効果がありますが、そのために時に国民に移行コストを強いることに対してコンセンサスは取られているでしょうか。あわせて、SSLに対する正しい知識の啓蒙、例えばURLの確認の必要性やブラウジング時の証明書エラーに対する正しい対処のあり方についてもしっかり教育できていないと、SSLによる中間者攻撃は防げません。公共サイト側でもSSL化が十分に効果を発揮するためには、go.jpなど属性ドメインの重要性や必要に応じたEV証明書の利用などが理解されないといけませんが、政府の情報システム担当者にその認識が十分広がっているかといえば、残念ながらまだ不安が残ります。さらに、常時SSL化は少なからぬコストを情報システムに強いる点も看過できません。各公共サイトの運用に割かれているセキュリティ対策コストが限られているのに、他のことに優先して常時SSL化を行うことで、不正アクセス対策へのリソース配分が疎かになってしまっては本末転倒です。常時SSL化されたサイトでは通信部分でのセキュリティ対策も無効になるので、例えば企業内から公共サイトにアクセスするときにプロキシでのマルウェア対策をしていても無効になりかねませんが、このことはむしろ公共サイトを介した水飲み場攻撃を狙う攻撃者のモチベーションを高めてしまいます。そのことに対する備えが十分に出来ているでしょうか。

繰り返しますが、常時SSL化は将来的に向かう方向としては間違っていないと考えます。ただ、それはサイバーセキュリティに対する状況を俯瞰して優先順位を付けた上で、移行後の影響を理解した上で段階を踏んで行うべきものです。単に「何でも良いから常時SSL/TLS化しろ」という風潮は思考停止を招き、正しいリスク評価を阻害しかねません。まして常時SSL化は、もともと国家権力の監視から人々を護るために進められたものであること、しかしそれが実現されることで検索や広告プラットフォームを握る事業者が人々の行動履歴を独占する結果を導くことも頭に置いておいた方が良いのではないかと思います。

【著作権は、上原氏に属します】