サーバー証明書の透明性を悪用した不正アクセスにご注意～脆弱性対策を万全に～

CT とは？

サーバー証明書には一般的に、Certificate Transparency（CT）と呼ばれる、Google 社が提唱し「RFC6962」という規格で標準化された技術が使われています。
CT とは、「証明書の透明性」という意味で、認証事業者が発行するサーバー証明書の情報を Certificate Logs という誰でもアクセスできるログサーバー（CT ログサーバー）に公開することで、不正なサーバー証明書が発行されていないかどうかを判別できる仕組みです。

なぜ CT は必要か？

CT ログサーバーに登録されるということは、いつ誰がどのようなサーバー証明書を発行しようとしているかという情報が、世の中に公開されることになります。
自分の会社の名義やドメインでどのようなサーバー証明書が発行されるかを知ることができるとともに、自分の会社以外の発行情報も知ることができます。

CT ログサーバーを監視することで、不正にサーバー証明書が取得されようとしていることを察知することもできます。例えば、自分の会社が申請した覚えのないサーバー証明書が発行されようとしている場合、自分以外の誰かが自分の会社のサーバー証明書を不正に取得しようとしていることが推測できます。この場合は、それが悪用され不正な偽サイトが構築されたりしないように、事前に対策することができます。

また、本来発行すべきでない会社からの申請に対して証明書を発行してしまったというケースにおいては、その認証事業者が不正な申請であることを見抜けなかったということにもなり、その認証事業者の審査業務に漏れがあることが考えられたり、認証事業者がすでに乗っ取られているという可能性までも浮上してきたりします。つまりは、認証事業者の信頼性評価にもつながっていきます。

CT は必須？

サーバー証明書を発行する際に CT ログサーバーに登録すること（CT 対応）は、セキュリティの面で有意義なものではありますが、業界規制において義務化されているものではありません。しかし、Google 社の Chrome ブラウザーでは、CT 対応されていない証明書が使われているサイトはエラー表示となるため、実質的に多くの認証事業者が CT 対応をしています。

Google Chrome のエラー表示

CT ログが悪用される？

CT ログサーバーは、不正なサーバー証明書の発行を検知できる仕組みですが、攻撃対象のサーバーを選ぶための手段として、CT ログサーバーを悪用するケースがあるようです。

この記事によれば、悪意のあるハッカーが CT ログサーバーを監視し、発行されたサーバー証明書の情報を取得して、それを元にまだ十分なセキュリティの設定が完了していない状態のサーバーに不正アクセスするという手口のようです。CT ログサーバーは、悪意のあるハッカーにしてみれば、手当たり次第に攻撃するよりも、セキュリティ設定が完了していないサーバーを効率よく見つけることができる、都合の良い手段なのかもしれません。

CT ログサーバーには、どのサーバー（FQDN）で証明書を発行するかという情報が登録されており、そのサーバーにアクセスを試み、脆弱性が見つかってしまえば、サイトがハッキングされてしまう恐れがあります。例えば、あるサイトを商用リリースする場面において、準備段階であらかじめサーバー証明書は取得しておき、パッチ適用などを完了していない状態で公開（一般に案内はしていないけれど事前に公開）しているような場合、セキュリティ設定などの対策がされていないため、悪意あるハッカーに攻撃され、不正な処理を仕込まれたりするリスクがあります。

不正アクセスを防ぐには？

CT ログサーバーを悪用した不正アクセスを防ぐためには、自身のサイトを公開する際に、事前に脆弱性対応を済ませておくことが重要です。また、不正な偽サイトが作られるのを防ぐためには、CT ログサーバーを常に監視し、意図しないサーバー証明書が発行されていないかを随時チェックすることも有効です。
Web サーバーの脆弱性対策としてサイバートラストでは、経済産業省が設ける「情報セキュリティ基準」に準拠・認定登録されている「脆弱性診断サービス」を提供しています。