セキュリティの現場から from バラクーダラボ (194) Googleの「HTTPS Everywhere」がWebアプリケーションセキュリティに与える影響

Googleは先日、HTTPSサイトの検索順位を優遇する方針を発表しました。これによって、インターネット全体のセキュリティ向上が期待されており、たとえば、人気サイトでは平文のパスワードを送信できなくなります。ご存知の通り、HTTPSは中間者（MITM）攻撃への有効な対策です。

例えて言うと、HTTPSは武装車両のようなものであり、A地点からB地点まで乗客を安全に輸送します。また、乗客を正しい目的地へと確実に送り届けることもできます。ただし、車両の積み荷が何かという点については保証がありません。つまり、積み荷が実爆弾や変装した敵である可能性もあるわけです。

敵は、この点を悪用して攻撃を仕掛けてきます。

○従来型の境界セキュリティの弱点を突くHTTPS

映画『イングロリアス・バスターズ』では、重装備のドイツ軍基地を突破するために、ブラッド・ピットと彼が率いる部隊はドイツ兵に変装します。

敵の正体を見破ることができなければ、セキュリティ対策は役に立ちません。HTTPSも、境界セキュリティにおいてこれと同様の難問に直面しているといえます。データが完全に暗号化されていると、ファイアウォールやIDS/IPSといった従来型の境界セキュリティソリューションでは不正を見破ることができません。