マカフィー株式会社 セールスエンジニアリング本部 シニアセールスエンジニア 松本匡史です。
McAfee Web Gateway に関して、実際の現場に関わって10年。ウェブセキュリティ関連で、気に留めておいていただきたいSSL通信に関しての重要なポイントを紹介したいと思います。
Webサーバの常時SSL化が一般化され、盗聴などの脅威に対してはリスクが低減されてきました。
その一方で、それらの通信を監視する/検査するという面では、暗号化が足枷となり満足に実施できていない場合もあります。また、攻撃者はその点を悪用し、SSL暗号化の霧に攻撃の手を隠す行動に出ています。
常時SSL時代の到来
アメリカ政府機関はホワイトハウスからの通達によって、すべての政府機関が2016年12月末までに常時 SSL 化を義務付けられました。OneDrive, Dropbox, Evernote などのクラウド・ファイル・シェア・サービスは、既に常時 SSL 化されています。日本国内でもポータル最大手の Yahoo! JAPAN は、 2017年3月に全サービスの SSL 化を実施しました。その他、有名自動車/家電メーカーなどの 製造業も常時 SSL 化を実施しています。これらは Google の「HTTPS ページが優先的にインデックスに登録されるようになります」という発表が影響しているとも考えられます。現時点で、全世界のインターネットトラフィックのSSL化は 46%を超えています。 (*) これらの事から、常時 SSL 化増加とともに、Web Security でも SSL Scanning 機能は必須となっています。つまり、SSL Scanning を実施していないと、46% のSSL通信化されたトラフィックは、スキャンされずに素通りでクライアント PC の Web ブラウザにダウンロードされてしまいます。46%のSSL通信化されたトラフィックの中に、何がふくまれているかは、チェックされない状態になるということです。SSL通信化されていれば、安心ということではありません。どのような脅威が含まれているかを説明していきます。
*リンク先を更新いたしました。(2017/7/27)
SSLに隠されたファイル脅威
次に、SSL通信化されたトラフィックでどんなことが起こりうるのか、簡単な例を挙げてみましょう。
下記は、SSL通信化したトラフィックにテストウイルス「eicar.com」を使ったテストです。McAfee Web Gateway 7.x(以下 MWG)でSSL Scanner を 有効/無効にして検査状況を取得したログの一部を表示しています。
MWG の SSL Scanner を有効にすることによって、SSL 暗号化に隠された脅威も検査し、悪意を持つファイルに対してブロックできることが分かります。一方の SSL Scanner が無効の場合には そのまますり抜けて (HTTP のステータスコードが200)、クライアントPC のWebブラウザに届いてしまいます(クライアント PCでAnti-Virus 作動していれば、検知・ブロックしています)。今回の例から想像、発展させて考えてみると、本例のような単純なファイルだけでなく、ランサムウェアや、それを呼び込むような VBS などの各種スクリプト、あるいはフラッシュ コンテンツなどでも同様で、SSL Scanner を有効にしないと検査はできません。
SSLに隠されたURLカテゴリ脅威
下記は、とあるGmailを参照した際に取得されたログの一部を表示しています。
同じURLを指定してもSSL Scannerが無効な状態ではURL情報がフルパスで取得できません。つまり正確なカテゴリ情報は取得する事はできないので、カテゴリ情報内にマルウェアファイルが格納されていたり、悪意のあるスクリプト等が埋め込まれていたとしても、検査することができないばかりか、カテゴリ情報すら取得する事ができていません。一方、SSL Scanner が有効な状態であれば、URLカテゴリをフルパスで取得できるため、カテゴリ内まで検査することができ、隠れた脅威を検出することができます。
おわりに
インターネット上のSSL暗号化通信比が約半分となり、今後も増え続けることは疑う余地はありません。また攻撃者が、その攻撃を監視されていない可能性の高いSSL暗号化の中に隠す行為は増加しています。INTEL CPUの拡張命令セットAES-NI によってSSLの暗号化/複合化の能力は飛躍的に向上しており、Web Securityでそれを検査しても、パフォーマンスの低下は軽微です。現在ではSSL Scanningに対して「実施する必要があるか?」ではなく「実施しない理由があるか?」で検討する必要があるのではないでしょうか。
もちろん、McAfee Web GatewayはAES-NIを用い、SSLを高速処理できることは言うまでもありません。
著者:マカフィー株式会社 セールスエンジニアリング本部 シニアセールスエンジニア 松本匡史