HTTPS監視装置にセキュリティ低下の危険性

　HTTPS通信を監視するセキュリティ装置の一部で、TLSによる保護が十分ではなく、セキュリティ強度が低下する恐れがあるという（ZDNet Japan、JPCERTによる「HTTPS 通信監視機器によるセキュリティ強度低下の問題」という注意喚起）。

　HTTPSではクライアント－サーバー間で暗号化されたデータがやり取りされるため、通常その経路に流れるデータを観測してもその中身を読み取ることはできない。そのため、HTTPS通信を監視する装置を利用する場合、クライアント側に専用の証明書をインストールすることで監視装置が暗号化されたデータを復号して読み取れるようにしておく必要がある。この場合、クライアントは監視装置の信頼性については証明書を用いて検証できるが、監視装置と目的のWebサーバーとの間の通信については、クライアントからはコントロールすることができない。

　最近発表された論文によれば、多くの監視機器がWebサーバーの証明書チェーンを正しく検証していないという。そのため、監視機器とWebサーバーの間で中間者攻撃が行われる可能性があるという。

　各機関では、ユーザーに監視機器が証明書チェーンを適切に検証しているかどうかや、検証結果に関する警告やエラーをクライアント側にレポートしているかを確認してほしいと呼び掛けている。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | インターネット

　関連ストーリー：
TCP仕様の1つに中間者攻撃可能な脆弱性、Linuxが影響を受ける 2016年08月18日
セキュリティソフト「SaAT Netizen」には中間者攻撃などとの組み合わせで任意のプログラムを送り込んで実行される可能性がある 2016年03月07日
MSがアドウェア評価基準を更新、中間者攻撃的手法で広告埋め込みを行うアプリも削除対象に 2015年12月25日
DellのPCに不審なルート証明書がプリインストールされていた？ 2015年11月25日