ベリサイン、新手の「中間者攻撃（Man-In-The-Middle攻撃）」への注意を呼びかけ

　米VeriSign（ベリサイン）は、米国バージニア州で開催されたセキュリティ・コンファレンス『Black Hat DC 2009』で、「中間者攻撃（Man-In-The-Middle攻撃）」に関するあらたな手口が発表されたことを受けて対策を呼びかけている。

　「中間者攻撃」はユーザを偽のWebサイトに誘導するあらたな手口。通信に偽のサーバやアプリケーションを割り込ませ、プロキシのように機能させることで、ブラウザとサーバの間で送受信されるHTTP形式の（HTTPS形式ではない）重要情報を盗み出すというものだ。従来の中間者攻撃との違いは、不正なWebサイトを信頼できるものに見せかけるため、偽の視覚的目印を表示している点にあるという。

　具体的には、SSLで暗号化されているサイトの目印として広く知られている南京錠マークを偽サイトのお気に入りアイコン（favicon）に設定するという手口が取られている。ただし、この手口で南京錠マークを表示することはできたとしても、EV SSL証明書を導入したサイトでは、最新のブラウザでアクセスするとブラウザのアドレスバーなどが緑色に変わるため、本物のサイトかどうかは簡単に確認できる。ただし、それでも騙されてしまう人が出ているのが現状だ。

　エンドユーザ向けの対策としては、アドレスバーなどが緑色に変わることを確認すること、EV SSL証明書を利用してアドレスバーなどが緑色に変化するサイトを識別することなどを呼びかけた。EV SSL証明書は、当該Webサイトが正規の組織の所有であることを証明するものだ。また、セキュリティ性の高いWebブラウザの最新版（Internet Explorer 7以上、Firefox 3以上、Google Chrome、Safari、Operaなど）にアップデートすることも対策となる。また、高い機密性を要求するアカウントには、トークンなど二要素認証方式の認証手段を利用、よくわからない差出人から送られたメールの扱いには慎重を期し、メールに記載されたリンクのクリックは避けるべきだとした。また企業向けには、EV SSL証明書を導入し、アドレスバーなどが緑色に変化することにどのような意味があるのかを顧客に周知させること、SSL化されていないWebページにログイン画面が表示されないように設定すること、二要素認証サービスの提供、バックエンドにリスクベース認証のソリューションを導入することなどを呼びかけている。

　米国ベリサイン・インクのプロダクトマーケティング部統括責任者のTim Callan氏は「認証を簡略にしたSSL証明書を悪用したフィッシング詐欺や中間者攻撃といったオンライン犯罪は、何年も前から行われていますが、先日Black Hatのコンファレンスで行われた発表は、オンラインでのトランザクションの安全性に関してユーザに改めて注意を喚起するよい機会になりました。セキュリティを脅かす要素は多様です。被害を未然に防ぐためには、エンドユーザの意識を高めるとともに、Webサイト側にも包括的かつ多層的なセキュリティ対策を通してユーザが安全に利用できる環境を保証することが求められます」とのコメントを寄せている。