検索
ニュース

SSL/TLS証明書の「不正発行」を防ぐ多視点ドメイン検証、Let's Encryptが開始BGP攻撃などを困難に

SSL/TLS向けのサーバ証明書を無料で発行している認証局「Let's Encrypt」は、BGPの乗っ取りのような攻撃に対抗するため、多視点ドメイン検証を開始した。証明書の不正発行につながる攻撃を抑え込む役に立つという。

Share
Tweet
LINE
Hatena

 SSL/TLSに利用できるサーバ証明書を無料で発行している認証局(CA)「Let's Encrypt」は2020年2月19日(米国時間)、「多視点ドメイン検証」を開始したと発表した。ドメイン検証のセキュリティを高める重要な前進だとしている。Let's Encryptによると、CAが多視点検証を大規模に実施するのはこれが初めてだという。

 Let's Encryptは、Mozilla、Cisco Systems、電子フロンティア財団(EFF)、Akamaiなどが支援する公益法人ISRG(Internet Security Research Group)が運営する組織。ソフトウェアツールによって証明書の更新などの作業を自動化できる点も特徴だ。

これまでのドメイン検証には弱点があった

 ドメイン検証は、全てのCAが行っているプロセスだ。証明書申請者が証明書の対象ドメインを実際に管理していることを確認するための手続きである。

 ドメイン検証プロセスでは通常、申請者に対し、特定のファイルまたはトークンを、ドメイン内の管理されている場所(特定のパスやDNSエントリー)に置くことを求める。申請者がファイルなどを配置できたかどうか確認することがCAの役割だ。以上の流れを図示すると次のようになる。


これまでのドメイン検証プロセス(出典:Let's Encrypt) (1)証明書のリクエスト、(2)ファイルなどの配置を要求、(3)ファイルなどの配置、(4)配置されたファイルなどを確認、(5)ドメイン検証の終了という流れになる

 だが、このプロセスには弱点がある。ネットワークを経由しているため、攻撃を受ける可能性あるのだ。検証パスに沿ったネットワークトラフィック(チェックのためのリクエストや、関連するDNSクエリ)を攻撃者が乗っ取ったり、リダイレクトしたりする場合、CAをだまして証明書を不正に発行させることが可能になる。

 プリンストン大学の研究チームはBGP(Border Gateway Protocol)攻撃により、これが可能なことを証明した。今のところ、このような攻撃はまれにしか起こっていないが、Let's Encryptは今後、多発するのではないかと懸念している。BGPと、BGPを実装した環境の大半は、安全ではないというのがLet's Encryptの見解だ。

 確かにRPKI(Resource Public Key Infrastructure)やBGPsec(BGP Security)など、BGPを保護する取り組みは進んでいる。だが、BGPを乗っ取る攻撃が過去のものになるまでには、長い時間がかかる可能性がある。

ネットワーク経路を複線化して対抗

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
ページトップに戻る