Bumble-Bee

好きなお酒、どうでも良い事、ダサい工作の覚書です。気が向いた時に更新しまーす。

タイムリミットは「2017年10月17日 」今からでも間に合う「常時SSL化」出遅れたらWebサービスの収益失速するかも。

かみさんが用事があるとのことので娘の学園際のビデオ撮影を頼まれました。慣れないiPhoneを逆光で操作していたら、なんとすべて「スロー」になってました。(涙)
帰って来たら何と言い訳しようか、青くなって考えている”あトん”です。

今回のブログは少し長文なので2回に分けて紹介することにしました。これから説明する「予告編」は、IT関係者には周知のことなので、ご存知の方はスルーして下さいね。

インターネットは危険に満ち溢れている

先日あるブログのリンクをクリックしたら某宗教系サイトに入ってしまいました。

今まで見たことがない洗練された構成で、ブログデザインのサンプルとして非常に参考になったのですが、何気にブラウザのアドレスを見ると、はてなのビッグアイコンに似た( i )マークが見えました。

試しにこのアイコンをクリックすると

このサイトでは接続が保護されてません。

このサイトでは機密情報(パスワードやクレジットカードなど)を入力しないで下さい。悪意のあるユーザに情報が盗まれる恐れがあります。

と表示されました。行ってはイケない危ないサイトだったのか!と閲覧を止め、速攻でブラウザを閉じたのですが、( i )のマークは今迄も度々見かけていることに気づきました。

後で詳しく説明しますが、『このサイトは暗号化されてなく盗聴可能です。偽造SSLサーバ証明書を使った「フィッシング」の偽サイトだったり、あなたに「なりすまし」て取引したり、あなたの入力情報が「改ざん」される恐れがあります』という意味だったのです。

ところで「WannaCry」という暗号化型ランサムウェアが2017年5月12日に猛威を振るったのは記憶に新しいと思います。

ランサムウェア「WannaCry」の脅威

この過激なウイルスを社内ネットワークに持ち込んでしまった企業・組織は、次々と感染が拡大し、ファイルやメールが勝手に暗号化され、さらに身代金を要求され、まさに「泣きたくなる」非常事態に陥ってしまいました。

あまりにも被害が拡大したので、MSはサポート終了のXPにまで修正パッチを提供する緊急事態となりました。

IPA情報処理推進機構)が公開した感染デモを参考に貼っておきます。まだ見てない方は、交通安全の講習会と思って一度見ておくと良いかも知れません。 


ランサムウェア「WannaCry (WannaCryptor)」感染実演デモ

なぜ感染したのか

感染し発症したPCはMSが3月15日にリリースした「MS17-010」のパッチ更新を実施してなかった、と言う非常にお粗末なものでした。

マイクロソフト セキュリティ情報 MS17-010 - 緊急

正直な話、セキュリティパッチの更新はきりがなく面倒なだけです。忙しくて対応をずーっと忘れてしまった放置状態のPCがあっても不思議ではありません。

しかし、今回報道された企業・組織は「当社では基本的なセキュリティ対策をすみやかに実施することが困難です。また、どのPCが未対策か把握できておりませんでした。」と世間に知らしめることになりました。

2ケ月も放置していたのですから、通常業務への影響以外に、ブランド・信用の失墜という大きなオマケが付いて来たかも知れませんね。

「私はスマホ/Macだから関係ない」「日本は影響少なかったのでは」と思っている方は、別の問題で足元をすくわれる可能性があるので注意が必要です。

「常時SSL化」って何?メリットあるの?

「改正個人情報保護法」が2017年5月30日からいよいよ全面施行されました。
今後ビッグデータの活用が今以上に加速されることが期待されます。

data.wingarc.com

しかし、企業・組織のWebサイトの安全は取り残されている状況にあり、今後発生する情報漏洩は過去に例を見ない大規模なものとなるリスクがあります。

matome.naver.jp

個人情報流出を報道され、事業に多額な損失を出した企業はこれまで多数ありますが、その企業でさえ「常時SSL化」はあまり進んでません。

安全・安心に情報を授受できない状況はネットビジネスの成長を阻害する大きな要因となりますが、トップランナーであるGoogleは早くから対策を警鐘してました。

SSLとは

SSL(Secure Sockets Layer)はWebサーバーとWebブラウザーとの通信を暗号化して送受信できる方法で、1994年にNetscape社によって開発されました。

少し詳しく知りたい方はマンガで解説された下記アドレスをご覧下さい。

pepabo.com

www.sslcerts.jp

常時SSL化のメリット・デメリット

ユーザの立場から見ると、常時SSL化は以下のメリットがあります。

①非SSLサイト/SSLサイトの両方からリファラ参照元)の情報が取得でき、
 Googleの検索順位が優遇される為、SEO対策の効果を期待できる。
②HTTP/2プロトコルで複数のリクエストを平行して処理できる為、
 読み込みが早くなり、通信速度が上がる。
③信頼性が向上するので、ユーザの流出を防ぎ、流入の増加が期待できる。

デメリットは移行作業が面倒なだけでしょうか。なお、信頼度が高いSSLサーバ証明書の取得には多少お金がかかりますが、トータルコストを考えるとメリットの方が大きいので、早い判断・実行がお得だと思います。

SSL認証の種類

SSL認証の信頼度は松竹梅の3レベルに分かれてます。

<梅> DV(Domain Validation SLL:ドメイン認証)
    ドメイン使用権のみ確認の証明

<竹> OV(Organization Validation SLL:企業実在認証)
    ドメイン使用権と組織の法的実在性の確認の証明

<松> EV(Extended Validation SLL:EV SLL)
    ドメイン使用権と組織の法的・物理的実在性の確認の証明 

雑なイメージで例えると、DVは名刺・楽天カード、OVは学生証・社員証、EVは健康保険証・運転免許証のようなものだと思って下さい。

jp.globalsign.com

CT(Certificate Transparency)とは

CT(Certificate Transparency)はGoogleが考えた仕組みで、2013年にRFC(Request for Comments)化されました。
正規に発行されたすべてのSSLサーバ証明書の情報をログサーバーに登録し公開し、クライアントがサーバに接続する時この情報を参照し、皆で不正なSSLサーバ証明書を見つけ出すものです。

シマネックのしくじり

japan.zdnet.com
これはシマンテックが買収し子会社となったThawteが2015年9月に23件のテスト証明書を許可なしに発行し、さらに76のドメインの164件の証明書、未登録のドメインの2458件の証明書の発行が発見されたという事件です。

再発防止の為、Googleシマンテックが2016年6月1日以降に発行するすべての証明書はCTに対応するよう勧告しました。

これが守られない場合、「Chrome」ブラウザはシマンテックの証明書を使用するウェブサイトを安全ではない可能性があると警告する、とアナウンスしました。

しかし、その後も証明書発行プロセスの改善が徹底されてなく、3万件に拡大したとGoogleは説明しており、両者の衝突が続いてます。

WebサイトのSSL化度合

WebサイトのSSL化はざっくり3パターンに分類できます。

丸腰系(SSL化:0%)

丸腰系は情報が抜かれ放題です。大手企業だから大丈夫、と何の確認もせずサイト内をアクセスしていると、思わぬところで重要な情報が盗まれる恐れがあります。特にフリーのWi-Fiスポットでのアクセスは要注意ですね。

見掛け倒し系(SSL化:1%~99%、DV認証)

なんちゃってSSL化サイトと呼んでも良いのですが、ログインページや個人情報を入力する特定のフォームだけをSSL化したものが多いようです。一見安全そうに見えますが、「Firesheep」や「SSL Strip」の脅威に対して脆弱であると言われてます。

また、詐欺サイトはドメイン認証SSLを使う場合があるので、注意が必要です。

完全装備系(常時SSL化サイト、OV認証・EV認証)

完全装備系はサイト内すべてをSSL化したもので、Googleが推奨しているものです。
ChromeFirefoxより判断基準が厳しく、アドレスがhttpsであっても、サイト内に1つでも非SSLの外部リンクがあると「情報、または保護されていない通信」と見なします。

OV認証orEV認証だと緑色の鍵マークが表示される仕組みになっており、詐欺サイトかどうかを見分けることができます。

安全を示すアイコン

Chromeでは安全のレベルは3区分になってます。

ChromeFirefoxで若干違いがあるので、詳細は下記アドレスを見て下さい。

support.google.com

support.mozilla.org

Chromeでの警告表示(まとめ)

上記説明を読んでもあまりピンと来ないかも知れませんね。Chrome 56~62ではどのような時どのような警告がアドレスバーに表示されるのかまとめてみました。

なお、スマホだと🔒有りと🔒無しの二択しかないので、警告に気づけないという不便さがあるので、最終的には緑色の🔒と赤色の警告の2種類になると思われます。

2017年は常時SSL化のビッグウェーブになる?

ハッキングや偽サイトによる情報漏洩で問題を発生させた企業・組織は数多くありますが、形だけの「謝罪」「注意喚起」や「〇〇委員会の設置」「△△マークの取得」等をアピールするだけで、実効性のある施策に取り組んでいるのは少ない状況です。

ひと昔迄はサイトを常時SSL化すると、アクセスが遅くなる、アドセンスの収益が下がる、等のデメリットが叫ばれてましたが、今は完全に逆転している状況です。

SSL化の震源と歴史

SSLへの歴史をざっくりまとめて見ました。ご存知でしたら読み飛ばして下さい。

2007年4月(始まり)

Googleは2007年4月よりGmailの提供を開始しました。Gmailは最初からSSL化したhttpsでの通信となっており、メールが傍受できないセキュアなサービスとなってます。

但しメールの内容はすべてGoogleが自動解析している、という仕組みがあるので、Gmailを業務で利用することを禁止している企業もあります。

gmail.googleblog.com

2010年5月

Googleは2010年5月にSSL化したベータ版の検索サイトを提供しました。

googleblog.blogspot.jp

2012年3月

Googleは遂に2011年11月にwww.google.comを常時SSL化し、4か月後の2012年3月にwww.google.co.jpも常時SSL化となりました。

japan.googleblog.com

2014年8月

Googleは常時SSL化を推進する為に、2014年8月に「HTTPS をランキング シグナルに使用します」とアナウンスしました。

webmaster-ja.googleblog.com

2015年6月

アメリカ政府は2015年6月8日にCIO評議会のブログで、2016年12月31日までに政府関連サイトの常時SSL化を完了させると発表しました。(まだ終わってませんが。。。)

cio.gov

2015年12月

Googleは常時SSL化を更に加速する為に、2015年12月に「HTTPS ページが優先的にインデックスに登録されるようになります」と宣言しました。

ブログで小銭を儲けようとアドセンスを積極的に利用している方は少なからずいらしゃると思いますが、常時SSL化してないサイトのユーザ様は衝撃を受けたことと思います。

webmaster-ja.googleblog.com

2016年9月

Googleは2016年9月8日に、ユーザーがウェブを安全に閲覧できるよう、第一ステップとして、2017年1月リリースのChrome 56より、アドレスバーにアイコンとセキュリティを表示すると発表しました。

security.googleblog.com

これは入力フォームのページでHTTPが使われていると、アドレスバーのURLの前に灰色で「Not secure(保護されてません)」の警告を表示するというものです。

そして、将来はセキュリティ・インジケータを、壊れたHTTPSに使用する赤い三角に変更する予定だそうです。

この変更により、約4ケ月間で入力フォームのHTTPは23%削減される効果があったそうです。Googleの影響力は大きいですね。

2017年4月

Chrome 56からの変更で一定の効果が確認できたので、Googleは2017年4月27日に安全なWeb閲覧の仕組み第二弾を、2017年10月17日(Chrome OS 安定版は10月24日)にリリースすると発表しました。

Chrome 62より入力フォームがあるHTTP(非暗号化)のすべてのページで、「Not secure(保護されていません)」の警告が例外なく表示されるものです。

security.googleblog.com

多くのサイトのトップページには検索バーが配置されているケースが多いので、SSL化(https)してないトップページは「保護されていません」とアドレスバーに警告が表示されることになります。

SSL化に関するGoogleの取り組みを時系列に見て来ましたが、Googleは最終ゴールに向けて、当たり前のことを丁寧にかつ着実に実行していることが分かったと思います。

セキュリティを最優先に考えているのですから、サギサイトを検索の上位に表示したり、何の注意喚起もしないことはあり得ないですよね。

安全性がより高いサイトを検索の上位に優先的に表示し、「安全である」「安全でない」をはっきり表示するのは当たり前のことだと思います。

このようにGoogleは常時SSL化の舵を積極的に取っているのですが、この変化に付いていけない企業はWebビジネスの負け組になってしまう恐れがあります。

またアメリカは国民に最高のプライバシー保護を維持する一つの手段として政府サイトの常時SSL化を義務付けてますが、セキュリティに不感症な日本では積極的な動きはありません。

近い将来日本はセキュリティ後進国の烙印を押され、オリンピックで大規模なハッキングやサイバーテロが多発したら世界の笑いものになるかも知れません。

Google  透明性レポート

皆さんは「Google  透明性レポート」を見たことはありますか?
"あトん"はSSLを調べて行く中で初めて見たのですが、とても興味深いデータが公開されてます。

透明性レポート – Google

httpsの国別使用状況

2016/10/31のhttpsの国別使用状況を見ると、Windowsだとアメリカが61%に対して日本は35%で10カ国中「最下位」です。

Androidでもアメリカが50%に対して日本は21%で10カ国中「最下位」です。

このデータから日本のサイトの約70%は丸腰系で非常にリスクがある状態だと分かります。

ちなみに「WannaCry」で被害を報道された日立製作所・イオン・JR東日本の常時SSL化を調べると、トップページはすべて非SSLの丸腰系サイトでした。

これは別に責められるものではなく、国内家電メーカはほとんど丸腰系ですし、衆議院参議院、東京都、外務省等のお役所もすべて丸腰系のサイトです。(笑)

GoogleでのHTTPSの対応

Googleのサーバーで暗号化された接続のリクエストは2014年は48%であったものが、2017年5月は87%と約2倍の伸びになってます。

また、サービス別のリクエストを見ると、広告の伸びは凄く、2014年1月は10%であったものが、2017年5月は91%となっており9倍になってます。

Google Adsense(グーグル アドセンス)をやっている非SSLサイトのユーザ様は、この数字を見たら常時SSL化のサイトに移行せねば、と焦るかも知れませんね。

アメリカ政府系サイトの常時SSL

宣言通りには進捗してませんが、2017年5月31日時点で76%がhttps化されてます。
年内に80%を超えそうですね。

pulse.cio.gov

まとめ

Googleにお尻を叩かれながら、これから日本でも常時SSL化が加速されることを期待したいのですが、オリンピック迄に50%に到達できるか微妙です。

一方、「安心」「安全」「情報セキュリティ」という言葉でイメージをアピールしている企業・組織は、自身のWebサイトもその対象範囲に含めるべきなのですが、常時SSL化への対応は進んでない状況です。

その為、すばらしいキャッチ・フレーズやスローガンが形骸化し、ブラックジョークとも思える残念なサイトを見かけます。これについては、次の「本編」で楽しく説明したいと思います。

atn.hateblo.jp

退屈なセキュリティの話について、最後までお付き合い頂きお疲れさまでした。

9/9追記 Chrome 62のリスースを10月24日→10月17日に修正しました。
     理由:10月24日はChrome OS 安定版のリリース日です。