グーグル、HTTPS拡散に拍車をかける

 

 

"Google Chrome to mark all HTTP pages as 'Not secure' later this year"

 

グーグルクロムは昨年初めから、一部のHTTPS(ブラウザが取り交わすデータを暗号化させるSSL認証書)を適用しないウェブサイトにアクセスする場合、「保護されていません(Not Secure)」という警告を表示し始めました。そして今年末からは、データ入力が可能で、個人情報を扱っているHTTPサイトだけではなく、全HTTPサイトにアクセスする際、ユーザに警告メッセージを表示する予定だと明らかにしました。

 

このようにグーグルがSSLの適用を拡大しようとする理由は何でしょうか? 一般的にHTTP環境では、暗号化されていない通信内容(パケット形式で転送されるデータ)を中間で盗み見することが頻発します。「中間者攻撃」と呼ばれているこの攻撃は、IDやパスワード、そしてカード情報などの重要な個人情報が流出される可能性があって、この攻撃を予防するための代表的な方法が、SSL認証書を使用することです。クロムのユーザの立場では、アドレスバーにある「錠マーク」を通じてセキュリティが適用されているサイトを簡単に確認して、安全な選択をすることができます。

 

7月に発売予定の「グーグルクロム68」は、HTTPS普及率に肯定的な影響を及ぼすと予想されます。現在アンドロイド及びウィンドウ基盤のクロム通信中で、約68%がセキュリティが適用されている状態です。クロムOSおよびマックの場合にはSSL認証書の適用が78%を突破して、全世界ウェブサイト100のうち、81個のサイトがHTTPSを支援しています。ですが、他のセキュリテイと同じく、SSLも正確に適用してこそ効果を期待することができるという事実を忘れてはいけないでしょう。

 

VPNサービスも慎重に選択して使うべき！

 

 

"A flaw in Hotspot Shield can expose VPN users, locations"

 

個人情報保護のために使う「仮想プライベートネットワーク(以下VPN)」サービスも使用する時には注意が必要そうです。先週は「シスコ(以下Cisco)」、今週は「ホットスポットシールド(以下Hotspot Shield)」のVPNサービスでセキュリティ上の欠陥が発見されました。

 

約50万人が使用する人気のあるVPNサービスである「Hotspot Shield」で使用者の個人情報を露出する脆弱性が発見されました。当脆弱性を利用すると「Hotspot Shield」のユーザの国家コード、Wi-Fiネットワークの名称などの個人情報も露出されることが明らかになりました。 Wi-Fiネットワークの名称を入手すると、当Wi-Fiネットワークを使っているユーザの正確な位置情報まで得ることができて、特にインターネット規制が厳しい国に住んでいるVPNユーザには非常に大きな脅威になる可能性があります。

 

VPNは主に政府からアクセスを遮断させたウェブサイトに接続したり、インターネット活動をIPアドレス偽装を通じて隠すために多く使用されますが、このようにユーザの正体関連情報が露出されると、当サービスがVPNの条件を満たしていないと言っても間違いはないでしょう。

 

この脆弱性はバグハンターのPaulos Yibeloが初めて発見したそうです。既に12月に、セキュリテイ上の欠陥情報と概念実証(Proof of Concept、POC)を「Hotspot Shield」に二回も伝達しても、「Hotspot Shield」から何の連絡もなかったそうです。結局、彼は5日前、テスト結果を個人ブログに公開しました。その後、 漸く「Hotspot Shield」では 早くにパッチを提供すると公示しました。

 

VPNは安全のためのサービスと考えても無理はないですが、VPNサービスとはいえ、絶対的に安全だとみなすことはできません。それでVPNも、やはりサービスセキュリティを優先する会社を選択しなければなりません。

 

英国の国家保健サービスの低いセキュリティ

 

 

"Every NHS(National Health Service)tested for cybersecurity has failed, officials admit"

 

皆さん、昨年5月に全世界を緊張させたランサムウェア、「ワーナークライ(WannaCry)」のことを覚えているのでしょうか？

 

英国の国家保健サービス(National Health Service、以下NHS)は当時、ワーナークライ攻撃によって多くの被害を受けました。地域病院の医事会計システム中で、約1/3がワーナークライに感染されて診療に大きな支障をきたしました。 そして未だにも大概の医事会計システムが、ウィンドウXP基盤で運営されていることが確認されました。ウィンドウXPが最新セキュリティパッチが適用されていなのも大きな問題で、ワーナークライが利用するSMBの脆弱性はパッチされていなかったそうです。

 

その後NHSは、セキュリティ水準について多くの調査を行いました。最近開かれた議会聴聞会ではNHSデジタル(NHSの情報資源管理員)副社長が「NHS地域病院の中では要求事項に適合したセキュリテイ条件を満たしていた病院が一箇所もなかった。」と言及しました。さらに、今もランサムウェア襲撃の原因になったウィンドウXP脆弱性をパッチしなかった病院もあるそうです。

 

重要情報を保有している医療機関のセキュリティ水準が深刻に低いというのは恐ろしいですね。ワーナークライ事態が繰り返されることを止めるためには、セキュリティに多くの気を使う必要がありそうですね。

 

歴史上最大規模の情報が流出された2017年

 

 

"Over 5,200 Data Breaches Make 2017 An Exceptional Year For All The Wrong Reasons"

 

皆さん、2017年はいかがでしたか。情報流出事件数で2017年を振り返ると、「歴史上最大規模」とも言えるでしょう。

 

セキュリティ会社の「Risk Based Security」社によると、2017年間、公開された情報流出事件だけで総5207件で、78億9千万件の記録が流出されたそうです。データ流出を引き起こした最も大きな要因は、「意図しないケアレスミス」が総68.7%で、その次が「ハッキング」で総55.8%を占めました。 つまり、隠しておくべきの情報が管理者のミスで、インターネットを通じて流出される頻度が、昨年一年間、とても高かったことを分かることができます。

 

「Risk Based Security」の報告書は、上のリンクで探すことができます。