95%のHTTPSサーバが中間者攻撃に対して脆弱 - Netcraft

インターネットサービス企業Netcraftはこのほど、「95% of HTTPS servers vulnerable to trivial MITM attacks｜Netcraft」において、HTTPSサーバのうちHTTPへのアクセス拒否を伝達する機能である「HSTS(HTTP Strict Transport Security)」を実装したものが5%にすぎないと指摘するとともに、残り95%はこの機能の不在を突いたフィッシング攻撃、ファーミング攻撃、中間者攻撃などを受けやすい状態にあると指摘した。

HTTPSによる通信はオンラインバンクなど重要性の高い情報を安全にやりとりするための要となる機能として活用されている。業界全体としてHTTPSを普及させる取り組みが進められているが、HSTSポリシーが強制されていないことが、セキュリティ上、脆弱な状態を作り出しているとNetcraftは指摘している。

オンラインバンクなどの高いセキュリティが必要となるサービスではHTTPSでの通信が提供されているが、こうしたサイトではユーザーのアクセス性を向上させるためにHTTPでのアクセスも提供している。