fbpx

SSL / TLSベースの脅威の分析

前書き

Secure Sockets Layer(SSL)とその後継であるトランスポートレイヤーセキュリティ(TLS)は、インターネットを介して送信されるデータの究極の保護と見なされており、サイバー犯罪者が悪意のある行為を実行するための究極の遊び場となっています。

もともと1994年に開発された暗号化プロトコルは、安全な通信を支援し、組織に着信トラフィックに対する安心感を与えるように設計されました。近年、ますますデータへの懸念が高まっています。

プライバシー、インターネットプロパティがデフォルトで暗号化を持っているという大規模な傾向があります。これはプライバシーにとって素晴らしいことですが、ITセキュリティへの挑戦を提示します。トラフィックの復号化、検査、および再暗号化は重要なことであり、従来のセキュリティアプライアンスのパフォーマンスを大幅に低下させます。ほとんどの組織は、暗号化されたトラフィックを大規模に検査する機能を備えていません。悪意のある人物がこれを知っているため、SSLベースの脅威が増加しています。VPNも言わずもがなです。

ハッカーはシステムに侵入してデータを盗むための多くの方法を発見しましたが、暗号化の解読は依然として困難で時間がかかり、したがって非効率的なアプローチです。代わりに、悪意のあるコンテンツを提供し、マルウェアを隠し、検出せずに攻撃を実行するために、暗号化自体を使用し始めています。

何年もの間、WebサイトのURLアドレスの横にあるロックの記号は、そのサイトが安全であることを伝えていましたが、もはや安全を保証するものではありません。暗号化されたチャネルを通過するトラフィック、デジタル証明書だけで信頼されるべきではありませんこのレポートでは、暗号化されたトラフィックと暗号化された脅威の最近の傾向に関する観察結果について説明します。

レポートの概要

この半年ごとのクラウドセキュリティインサイトレポートでは、リサーチチームが2018年7月から12月までクラウドセキュリティソリューション全体の暗号化されたトラフィックを調査しました。このレポートには、現在のセキュリティリスクに関するいくつかの傾向や詳細など、調査から収集されたデータが含まれています。

暗号化プロトコルには、SSL、TLS、HTTPSなど、複数の業界用語があり、それらはしばしば互換的に使用されます。このレポートでは、通常「SSL」を使用します。

SSLトラフィックパターン

Google透明性レポートによると、2018年12月、米国のGoogle Chromeのページの90%以上が暗号化(HTTPS)を使用して読み込まれました。同じ月に、MozillaFirefoxにロードされたすべてのページの76.5%が暗号化されたと報告しました。これは、前年度から10%増加しています。

SSLの使用が増え、標準プロトコルになりつつあるため、サイバー犯罪者は暗号化を使用して攻撃を隠蔽し、起動しています。以前は入手が困難でしたが、SSL 証明書は無料ですぐに利用できるようになり、攻撃者にとって簡単に偽装できるようになりました。

主な調査結果–脅威

SSLトラフィックの増加に伴い、SSLベースの脅威もそれに対応して増加することが予想されます。この傾向は、SSL トラフィックに隠された17億の脅威をブロックした事が調査によって確認されました。つまり、1か月あたり平均2億8300万個の高度な脅威がブロックされます。

フィッシング

とあるクラウドセキュリティソリューションは、平均して2018年に暗号化されたチャネルを介して270万件のフィッシング攻撃をブロックしました。これは、2017年にブロックされたSSLベースのフィッシング攻撃と比較すると、400%以上増加しています。

予想通り、サイバー犯罪者は攻撃を人気のあるブランドに集中させました。MicrosoftOffice 365 とOneDriveがフィッシング攻撃のために偽装されることが最も多い特性です。リストのトップにある他の一般的に模倣されたサイトは、Facebook、Amazon、Apple、およびAdobeでした。DropboxとDocuSign 、トップ5 にわずかに届きませんでした

悪意のあるコンテンツ

もちろん、SSLを利用する脅威はフィッシングだけではありません。とあるクラウドセキュリティソリューションはまた、侵害されたWebサイト、悪意のあるリダイレクトスクリプト、マルバタイジングの試みを含む、悪意のあるコンテンツの平均1億9,600万のインスタンスをブロックしました

ボットネット

そしてボットがあります。2018年のボットネットコールバックの平均試行回数は毎月3,200万回ブロックされました。ボットネットファミリの上位5つは次のとおりです。

  • Trickbot、金融マルウェア、情報窃盗犯
  • Zbotの亜種、銀行情報を盗むことで知られるトロイの木馬
  • カダール、バンキング型トロイの木馬
  • Dridex、バンキング型トロイの木馬、スパイウェア
  • Emotet / Heodo / Feodoの亜種、金融マルウェア、情報窃盗犯

ブラウザの悪用

ブラウザのエクスプロイトは、オペレーティングシステム脆弱性を利用して、攻撃者がユーザーのブラウザ設定を知らないうちに変更できるようにします。とあるクラウドセキュリティソリューションは、2018年に1か月あたり平均240,000回のブラウザーの悪用の試みをブロックしました。ただし、12月の悪用の試みは、ホリデーショッピング詐欺が原因で、前月と比較して50%以上増加しました。

新しく登録されたドメイン

とあるクラウドセキュリティソリューションによってブロックされたすべての新しく登録されたドメインのほぼ32%が、コンテンツの提供にSSLを使用していました。また、ブロックされたSSL暗号化の新規登録ドメインの数は、2018年12月に前月に比べて約2.5倍に増加しました。

サイバー犯罪者は多くの場合、新しい攻撃ごとに新しい偽のドメインを作成するため、新しく登録されたドメインは危険と見なされます。そのため、悪意のあるドメインは短命になる傾向があります。とあるクラウドセキュリティソリューションは、登録後30日間、新しいドメインを自動的にブロックします。

SSL / TLS証明書

SSL / TLS証明書はデジタル証明書とも呼ばれ、Webサーバーとインターネットブラウザーの間に暗号化されたチャネルを確立するために使用されます。これらの証明書には、所有者のID に関する情報と、証明書のコンテンツを検証したエンティティ(発行者または認証局(CA)とも呼ばれます)のデジタル署名が含まれています。CAが使用する検証方法に基づく証明書には、次の3つのタイプがあります。

ドメイン検証済み(DV)

これらの証明書は、証明書が要求されているドメイン名と所有権を使用して検証されます。

検証済みの組織(OV)

DVチェックに加えて、CAは、追加の信頼のためにOV証明書を発行する前に、組織レベルの詳細(ビジネス名、物理アドレスなど)を検証します。組織の名前は、証明書の詳細にリストされています。

拡張検証済み(EV)

EV証明書には、CAによって実行される最も厳密な形式の検証が含まれます。これには、すべてのDVおよびOVチェックが含まれ、CAによる要求者のIDの検証も必要です。組織の名前は、しかし常にではないが、アドレスバーに表示されます。

どのタイプの証明書が最も頻繁にブロックされましたか?

暗号化されたWebチャネル上の最近のセキュリティブロックのランダムサンプルに含まれるSSL証明書を収集しました。以下は、SSL / TLS証明書のさまざまな属性に基づく調査結果です。これには、侵害された正当なサイトと悪意のあるサイトの混在が含まれることに注意することが重要です。

セキュリティブロックに含まれる証明書の大部分はDV 証明書でした。定義により、デジタル証明書を要求する人は、自分がドメインの所有権を持っていることのみを証明する必要があるため、DV証明書は乱用されやすくなります。

最も頻繁にブロックされるトラフィックがあったCAはどれですか?

ここに驚きはありません。とあるクラウドセキュリティソリューションのセキュリティブロックに含まれる証明書の大部分は、無料のサービスであるLet’s Encryptによって発行されました。ただし、チャートに示されている多くの商用認証局もあります。商用CAも無料のDV証明書を提供し始めました。これは有効期間が短く、したがって乱用されがちです。

セキュリティブロックに含まれる多数の証明書の有効期間は短かったが、これは多くの攻撃キャンペーンの有効期間が短いために予想される。加害者はキャンペーンドメインを頻繁に変更するため、新しい証明書を取得する必要があります。

緑の南京錠の神話

SSL証明書は、以前は高価であり、取得にかなりの時間がかかったため、過去数年間、セキュリティの兆候と見なされていました。難しさとコストは、サイバー犯罪者の抑止力であることが判明しました。

ただし、Let’s Encryptなどの無料の証明書プロバイダーの登場により、証明書を取得するのは簡単な作業になりました。2018年12月の時点で、Let’s Encrypt は2016年の発売以来約9000万のアクティブな証明書を発行しています。

企業が簡単に認証を取得できるようにする一方で、この戦略の意図しない結果により、サイバー犯罪者に新しい攻撃経路が開かれました。

内部トレーニングセッション中に、組織は従業員に対して、信頼とセキュリティの象徴としてブラウザのアドレスバーにある緑色の南京錠の記号を探すようにアドバイスすることがよくあります。しかし、ここ数年の経験に基づくと、それはもはや信頼できる戦略ではありません。

最近のフィッシング攻撃を見てみましょう。偽のバンクオブアメリカのログインページが、正当な証明書を使用して侵害されたWebサイトでホストされていました。

ユーザーは緑色の南京錠を探すだけでなく、URL に加えて南京錠の記号(EV証明書の表示)の横に会社名が表示されているかどうかも確認してください。ほとんどの主要な金融機関は、サイトにEV証明書を使用し始めて、Webサイトの正当性を確認するために追加の手順が実行されたことをユーザーに即座に視覚的に保証しています。

注目すべき脅威:JavaScriptスキマー

2018年に見られた最も注目すべきSSL脅威のトレンドの1つは、JavaScript スキマーベースの攻撃の増加でした。

これらの攻撃は、eコマースサイトが侵害され、悪意のある難読化されたJavaScriptが挿入されることから始まり、次にJavaScriptが購入トランザクションを利用しようとします。挿入されたスクリプトは通常、Document Object Model(DOM)プロパティを使用して、実行時に支払いページにフォームを追加します。これらの感染したサイトから何かを購入しようとするユーザーは、個人情報と財務情報を収集(「スキミング」)し、暗号化されたチャネルを介して攻撃者が制御するリモートサーバーに送信します。

結論

このレポートは、とあるクラウドセキュリティソリューションからデータをキャプチャし、グローバルな企業で何が起こっているかについての重要なファクトを提供します。当社のクラウドは、平均して1日あたり100億回以上のトランザクションを処理します。そのトラフィックの80%近くが暗号化されていることがわかりました。また、毎日平均950万件のSSLベースの高度な脅威をブロックしたこともわかっています。暗号化されたすべてのトラフィックを検査していない組織は、侵入や感染の危険性が高まり、被害を拡大します。SSLインスペクションを完全にサポートする多層多層防御戦略は、企業がこれらの脅威から安全であることを保証するために不可欠です。

SNSでもご購読できます。