2017年2月1日水曜日

ブラウザのサイト安全チェックが今年(2017年)から厳しくなった! サイト閲覧時の警告/エラー表示に注意

ブラウザのサイト安全チェックが厳しくなり、最新版のブラウザでアクセスすると、“この接続ではプライバシーが保護されません”というエラーが表示されるサイトがあります。
 

これは、個人情報を扱うサイトで、URLが“https://”という暗号化された接続であっても、

 安全性が低い暗号化技術「SHA-1」を使っているため、このサイトは危険!
 
という警告です。本来ならば、安全な暗号化「SHA-2」を使わないといけません(SHA-2移行問題と言われています)。


 参考:
 「Google Chrome」の閲覧画面にエラーが!
  ~“https://”のサイトにアクセスできない - やじうまの杜 - 窓の杜
 http://forest.watch.impress.co.jp/docs/serial/yajiuma/1041798.html


ブラウザ別にみると、以下のバージョンから、安全でない暗号化「SHA-1」を使っているサイトではエラー表示が出るようになり、ブラウザのサイト安全チェックが厳しくなっています。

 ・Chromeは2017年1月の最新版の「Chrome 56」からエラー表示
 ・Firefoxは2017年1月の最新版の「Firefox 51」からエラー表示
 ・Microsoft Edge および Internet Explorer 11 は2017年2月14日から


インターネット・バンキングや、ネットショッピング中などに、

 「セキュリティ証明書には問題があります」
 

 「安全な接続ではありません」
 
などといったエラー画面が表示されたら、タブを閉じるなどして、そこから先へは進まないようにする方が安全です。

また、これまで付き合っていたサイトで、このようなエラー表示がでたら、安全性を考えておらず、そのサイトとは、付き合うことはやめたほうが無難です。


なお、個人情報を入力するサイトは、通常、“https://”というURLになっており、今までは安全と考えられていましたが、“https://”であっても、安全でない暗号化「SHA-1」を使っているサイトは、プライバシーが保護されず、危険です。

アメリカ国立標準技術研究所(NIST)などの米国機関や業界団体においては、「SHA-1」の使用を取りやめ、より強固なハッシュ関数である「SHA-2」への移行が推奨されています。

また、SSL/TLSサーバー証明書を発行しているサイバートラスト、GMOグローバルサイン、シマンテック、セコムトラストシステムズの各社では、SHA-2を用いた証明書への移行を推奨しています。


■URLが「https://」の場合は「SSL/TLS」という技術を活用している

個人情報を扱うサイトのURLは、通常「https://”」になっており、この「https」で始まるサイトにアクセスすると、ブラウザには鍵のマークが出てきます。

この鍵マークが、「SSL/TLS」という技術を使って、お互いが正しい通信相手であるかを確認し、やり取りするデータを暗号化しているという意味になります。

インターネット・バンキングやネットショッピングなどの個人情報を扱うサイトは、「https」で始まるURLになっており、「SSL/TLS」という技術を使っています。

この場合、住所・氏名、クレジットカードの番号を送る時は、①サイトのコンピュータが正しいかを確認して、②情報を暗号化して送信しています。

しかし、この「SSL/TLS」という技術には問題点があります。



■「SSL/TLS」には問題点があり、ブラウザを最新版に更新しないとダメ

「SSL/TLS」という技術には、今回紹介した「SHA-1」問題に加え、”POODLE”脆弱性([補足1])、”FREAK”脆弱性([補足2])があります。

ただし、最新版のブラウザでしか、これらの問題には対応しないため、インターネット・バンキングや、ネットショッピングを、安全に利用するために、ぜひとも、ブラウザは常に最新版に更新してください。


なお、”POODLE”脆弱性、”FREAK”脆弱性共に、Chrome、Firefox、Microsoft Edge および Internet Explorer 11 の最新版では対応済です。

詳しくは、下記のwikipediaの記事を参考にしてください。

 ウェブブラウザにおけるTLS/SSLの対応状況の変化 - wikipedia
 https://is.gd/ZTLY9M


[補足1]”POODLE”脆弱性 問題

”POODLE”とはSSLのバージョン3.0に存在する脆弱性のことを指します。

この脆弱性を突くことで、悪意のある攻撃者は、第三者の通信に介在してSSL/TLSを脆弱なバージョン(SSL3.0)に落とし、通信させることができます。

POODLE脆弱性を持つプロトコルをそのまま放置していると、暗号化に必要な鍵を事前に知らない第三者が、大量通信や中間者攻撃によって、暗号化されたデータを解読してしまう可能性があり、パスワード等の個人情報やCookie情報が第三者に漏えいする可能性があります。

この問題は、SSL 3.0や実装が不十分なTLS1.0/1.1を有効にしているサーバとの通信において発生します。

なお、2017年1月時点でのChrome、Firefox、Microsoft Edge および Internet Explorer 11の最新版では、SSL 3.0は”安全ではない”として、非対応になっています。詳しくは、上記のwikipediaの記事を見てください。


[補足2]”FREAK”脆弱性 問題

”FREAK”とは、SSL/TLS通信をしているパソコン(クライアント)が、SSL/TLS通信で扱った情報が、「Man-In-The-Middle(中間者攻撃)」により盗聴、改ざんされるというものです

その方法とは、攻撃者が安全性が低い「RSA Export Suites」を使わせるよう「中間者攻撃」を行い、攻撃が成功すれば、脆弱な暗号化通信が行われ、その通信に対する「中間者攻撃」によって、通信内容が盗聴や改ざんされるというものです

ただし、前提としてサーバー側、クライアント側、双方がFREAKの影響を受けるソフトウェアを使用している必要があります。

そのため、FREAK攻撃を防止するためには、脆弱性を解消した最新のWebブラウザにバージョンアップすることが重要となります。有名なブラウザはいずれもFREAKの脆弱性は解消されています。詳しくは、上記のwikipediaの記事を見てください。


参考:

 SHA-1 ウェブサーバー証明書は 2017 年2月から警告!
 Microsoftブログ 日本のセキュリティチーム
 https://blogs.technet.microsoft.com/jpsecurity/2016/11/25/sha1countdown/

 企業サイトが表示されなくなる日、迫る「SHA-2移行問題」 | IT Leaders
 http://it.impressbm.co.jp/articles/-/12248

 主要ブラウザのセキュリティ強化でHTTPSエラー?! | GMOグローバルサインブログ
 https://jp.globalsign.com/blog/2016/browser_update_ssl_error.html

 SHA-1証明書を用いたウェブサイト閲覧時の警告/エラーや表示について
 フィッシング対策協議会が注意喚起 -INTERNET Watch
 http://internet.watch.impress.co.jp/docs/news/1037904.html

 今のままではSSL通信が使えなくなる? SHA-2証明書への移行ポイント
  - ZDNet Japan
 https://japan.zdnet.com/pickup/globalsign_201406/35049769/