暗号化されたサービスの保護に関するブログ

不可欠ながら不十分なWebサービスの暗号化

インターネットバンキングやEコマースなどのオンラインサービスは、利用の際に取引内容や気密性の高い個人データが十分に守られているという信頼感がなければ成り立ちません。そうした信頼性の高いサービスの提供を可能にするのが暗号化です。しかし当然ながら、暗号化されたサービスはDDoS攻撃の格好の標的となります。入手困難な資産であるほど、攻撃者には魅力的に映るのです。映画『007/ゴールドフィンガー』で、ゴールドフィンガーがフォート・ノックスへの侵入に執着していたことを思い出してください。堅牢な建築物に保管されているということこそ、貴重なものの存在を知らせているようなものです。

それだけではありません。多くの場合、暗号化されたトラフィックに侵入しようとする攻撃者自身も暗号化技術を使用し、検知を極めて困難にしています。

SSL(セキュアソケットレイヤー)とTLS(トランスポートレイヤーセキュリティー)は、送金やオンラインショッピングなどの金融取引だけでなく、電子メールやリモートアクセスの保護にも使用される最も一般的な暗号プロトコルです。SSLは、FacebookやTwitterなどのソーシャルメディアプラットフォームでもユーザーのプライバシー保護に使用されるようになってきています。SSL暗号化に依存するサービスの増加に伴い、暗号化されたサービスを狙うDDoS攻撃の増加も確認されています。アーバーネットワークスの「第12版年次ワールドワイド・インフラストラクチャー・セキュリティー・レポート」によると、2016年度にはセキュリティーの専門家の52%がセキュアWebサービス(HTTPS)で攻撃に遭ったことがあると回答しており、2015年度の47%から増加しています。

攻撃手法の多様化

SSL暗号化への攻撃は通常、SSLサーバーによる通信認証能力を無効にしようとします。アーバーネットワークスの年次調査によると、SSLサーバーへの攻撃はおおむね以下の4つのカテゴリーに分類されます。

  1. SSL/TLSネゴシエーション(いわゆる「ハンドシェイク」)を狙った攻撃:一般的な例として、攻撃者がハンドシェイクのプロセスを開始し、サーバーリソースが枯渇するまで暗号化キーのネゴシエーションを繰り返すことで、正規ユーザーによるサービス利用を不可能にします。
  2. SSL/TLSポートへのプロトコル攻撃または接続攻撃:一般的には、SSLサーバーに大量のゴミデータを送り付け、サーバーの処理能力に過大な負荷をかけます。
  3. サービスポートに大量のトラフィックを送り付ける帯域幅消費型攻撃:大量のトラフィックによってインターネットからのインカミングリンクを飽和させ、データセンター全体を外部から遮断します。
  4. 完全にネゴシエーションされたSSL/TLS接続を直接通じて基盤のサービスを狙うアプリケーション・レイヤー型攻撃:HTTPSサービスは、気付かれないように実行される高度な攻撃に狙われやすい標的の一つです。こうした「ロー&スロー」攻撃は、低レートでトラフィックを生成するマシンをできるだけ少ない攻撃数で攻撃すればよいため、非常に効果的です。

このような多様な攻撃手法があることを考えれば、大量のトラフィックを送り付ける攻撃から、防御をすり抜けて攻撃のタイミングまで潜伏する高精度で狡猾なアプリケーションレベルの攻撃まで、今日の幅広い攻撃タイプに対応できるセキュリティー対策の必要性は明らかです。

暗号化されたトラフィックに潜伏しているもの

SSL攻撃に対する防御が特に難しいのは、攻撃自体が暗号化されているためです。SSL暗号化は、ユーザーのデータをコーディングし直して、未認証のユーザーやデバイスがサーバー間を移動するときに読み取れないようにします。この方法によって、オンライン取引や機密情報のやり取りに際してセキュリティーと完全性が確保されますが、同時にリスクも伴います。ファイアウォールやIPSなどのネットワーク・セキュリティー・デバイスは、通常は暗号化されたトラフィックを検査しないため、大量のインターネット・トラフィックが検査されずにネットワーク上を移動しています。破壊的攻撃を仕掛けるまでマルウェアやボットネットが潜伏するのにこれほど適した場所はありません。ハッカーは、SSLと悪意あるブラウザーベースのツールを利用し、検知システムに気付かれることなく、HTTPSサービスに直接攻撃を仕掛けることができます。

最も効果的なSSLトラフィックの検査方法は、トラフィックの復号化ですが、この手法を用いれば、正規のサービスが侵入されるリスクや、少なくともサービスが中断されるリスクにさらされることになります。そのため、トラフィックキューの遅延や認証済みトラフィックへの侵入を発生させずに、暗号化されたトラフィックを確実に検査して、真正性を証明できるソリューションが求められます。

暗号化がオンライン・セキュリティーにとって重要かつ不可欠な要素であることは間違いありません。しかしながら、暗号化さえすれば、重要なサービスのセキュリティーを確保できるというわけではありません。悪意のある攻撃者は、それを突破しようとさらに狡猾な手法を編み出すためです。安全なサービスの完全性と中断のない可用性を確保するためには、脅威インテリジェンス、攻撃検知、ミティゲーションを網羅した強力かつ包括的な能力が必要です。

アーバーネットワークスのDDoS防御ソリューションの詳細は、こちらをご覧ください。