ここから本文です

HTTPSサイトは必ずしも安全ではない? セキュリティホールの存在が一部で明らかに

4/2(火) 18:11配信

WIRED.jp

ウェブの暗号化スキームであるHTTPSが普及したおかげで、アドレス欄に表示された小さな緑色の鍵のアイコンを見かけることが増えた。人気のあるサイトは、たいていこの防御策を備えている。

グーグルは「URLがない世界」をつくろうとしている

HTTPSで使われているプロトコルは「TLS(Transport Layer Security)」と呼ばれ、旅行の計画やパスワード、他人にはあまり知られたくない検索単語などといったものが第三者に見られることを防ぐために、ブラウザーとウェブサーヴァーとの間でやりとりされるデータを暗号化している。

ところが、驚くべき数のHTTPS化されたウェブサイトに脆弱性があることが明らかになった。

ヴェネツィア大学とウィーン工科大学の研究者が実施した共同調査によると、訪問者数の多いウェブサイト10,000件から、5.5パーセントにTLS関連のセキュリティホールが確認された。なお、調査対象のサイトは、アマゾン傘下のウェブトラフィック分析会社Alexa Internetのデータに基づいて選ばれている。

脆弱性があっても「鍵アイコン」を表示

セキュリティ上の欠陥は、TLSの組み込みにおけるエラーとバグの修正プログラムがインストールされていないことが組み合わさって生じていた。TLSとその前身のSSL(Secure Sockets Layer)ではこれまでに多くのバグが見つかっているが、どれも修正パッチが配布されている。

最大の問題は、どのサイトも脆弱性があるにも関わらず、例の緑の鍵のアイコンが表示されているという点だ。

ヴェネツィア大学でネットワークセキュリティと暗号化の研究を行うリカルド・フォカルディは、「ブラウザーのヴァージョンが最新でもサイトに脆弱性があることは検出されませんした」と話す。「TLS関連のセキュリティホールは、修正どころかその存在すら気づかれていないのです。ブラウザーの側できちんと検知されることが望ましいでしょう」

調査結果の詳細は、5月にサンフランシスコで開かれる「IEEE Symposium on Security and Privacy」で発表される。

1/3ページ

最終更新:4/2(火) 18:11
WIRED.jp

記事提供社からのご案内(外部サイト)

『WIRED Vol.33』

コンデナスト・ジャパン

2019年6月13日発売

1,200円(税込み)

『WIRED』日本版VOL.33「MIRROR WORLD - #デジタルツインへようこそ」来るべき第三のグローバルプラットフォームを総力特集

こんな記事も読まれています

あなたにおすすめの記事

Yahoo!ニュースからのお知らせ