第三者とは誰なのか?
インターネット通信のほとんどはクライアント(ブラウザなど)からのリクエストと、サーバーからのレスポンスの二者間で成り立っています。そして、インターネットの特徴として数多くのネットワークがお互いに接続されていることが挙げられます。自分のプロバイダーと外国のプロバイダーがネットワークで繋がっているため、私たちは日本に居ながら外国のWebサイトを見ることができます。
例えば、ホワイトハウスのWebサイトを見る場合、クライアントとサーバーの関係は一緒ですが、自分のプロバイダーからホワイトハウスのプロバイダーに繋がるまで、多くのネットワーク機器を経由しています。
それらのネットワーク管理者は、管理下のネットワーク状態を確認するために通信内容を見ることが可能であり、見ていたことは誰にもわかりません。「ネットワーク管理者」と聞くと、”自分には関わることの無い遠い存在”に思ってしまいそうですが、あなたが普段から利用しているカフェやレストランの無料Wi-Fiを利用した場合、そのWi-Fiルーターを管理している人も「ネットワーク管理者」に該当するため、遠い存在では無く、むしろ身近にいる存在なのです。
このようにクライアントとサーバーとの間に「第三者」は存在し、通信が暗号化されていない場合は「悪意のある第三者」が途中経路で盗聴や改ざんを行うことが可能です。他にも「第三者が不正アクセスで○○公式サイトを改ざん!」といったニュースがあるように、「第三者」とはクライアント・サーバー・中間者以外の「誰か」を指すこともあります。つまり、「第三者」とはクライアント・サーバー以外の「誰か」ということになります。
そうなるとインターネットは自分とサーバー以外の「第三者」で埋め尽くされてしまいますが、特性上仕方がないことであり、こういった経路の安全性が保証されていない環境でも、安全に通信するためにSSLサーバー証明書(以下、SSL証明書)が存在します。
SSL通信を行う際に、鍵が盗聴されても安全性を担保できる「鍵交換方式」が用いられたり、「共通鍵暗号」の鍵を暗号化して送り合ったりするのはこのためです。
通信を盗聴する第三者
具体的な「悪意のある第三者」を知るために、無料Wi-Fiを偽装するケースを考えてみましょう。例えば、1階にカフェがあるマンションの2階に住んでいるAさんが、通信を監視できるように設定したWi-Fiルーターを設置し、SSIDを「〇〇CAFE_FREEWIFI」とそれらしく設定してパスワード無しで開放したとします。
通常、飲食店などのお店にあるWi-Fiは接続時にパスワードが求められたり、メールアドレスの登録が必要だったりすることが多いですが、何も知らないでパスワード不要のアクセスポイントへ接続する人も多くいると思います。AさんのWi-Fiルーターを経由した通信は、Aさんが内容を全て見ることができ、暗号化されていないサイトでクレジットカード番号などを入力した場合、その番号を窃取して悪用することが可能です。
- ※もちろん犯罪です。
悪意を持って盗聴・なりすまし・改ざんを行い、データを悪用することを中間者攻撃やMITM攻撃(Man-in-the-middle attack)と呼びます。パスワードが設定されていない無料Wi-Fiなど、身元不明のWi-Fiスポットは利用しないことで中間者攻撃を回避できる可能性が高くなります。外出時には注意してWi-Fiスポットを利用しましょう。
フィッシング詐欺を働く第三者
サーバーをクラック(不正に侵入)しようとして、ID/パスワードの総当たり攻撃を実行する人がいたとしましょう。この人も「悪意のある第三者」です。攻撃が成功してサイトを乗っ取ることができた場合、フィッシング詐欺用のサイトを置くこともできますし、フィッシングメールを送信して改ざんしたWebサイトへ誘導し、被害者から口座情報などを騙し取ることが可能です。
- ※もちろん犯罪です。
フィッシングサイトから身を守るためには、ブラウザの鍵マークを確認するだけでは足りません。アクセスしたWebサイトのドメインにも注意することが大切です。フィッシング詐欺からの身の守り方は、当コラムの『詐欺サイトもSSL化が当たり前?!フィッシング詐欺被害を回避する4つの対策とは?』で紹介していますので、ぜひご覧ください。
あまり知られていませんが、サーバーをセットアップするとものの数分で攻撃が始まります。攻撃はサーバー側のOSやミドルウェアの脆弱性を突くものから、WordPressの管理画面やプラグインの脆弱性を狙った攻撃まで多岐にわたり、攻撃が成功するとWebサイトの改ざん、マルウェアやウィルスの注入、データの窃取などが行われます。Webサイトだけではなく、メールの添付ファイルによる攻撃も「悪意のある第三者」によるものです。
「自分のサイトは日記・雑談ブログだから大丈夫!」という言い訳をよく耳にしますが、「悪意のある第三者」はあなたのブログに興味があるわけではなく、足のつかないセキュリティの弱いサーバーやWebサイトをフィッシングなどに悪用するために攻撃をしています。コンテンツに関わらず、自分でWebサイトを持った場合はセキュリティに気を配ることがとても大切です。
悪意のある第三者から身を守るために
Webサイト担当者の視点で、「悪意のある第三者」から身を守る方法を考えてみましょう。細かく説明すると長くなってしまうので、レイヤーごとに分けて概要を紹介します。
1.Webサイトを運用しているサーバー
Webサイトを運用しているサーバーのセキュリティは最も重要なポイントですが、「さくらのレンタルサーバ」のような管理者(root)権限が譲渡されていないサービスの場合は、サーバー会社側でセキュリティの管理をしています。VPSなどと比べて少し高めに価格が設定されているのは、この管理費用が含まれているからです。
VPSなどの管理者(root)権限があるサーバーでWebサイトを運用している場合は、文字通り自らが管理者となるため、OSやミドルウェアのセキュリティアップデートが大切です。また、ApacheやnginxのSSL設定なども関わってきます。適切な部門でしっかり管理することが非常に重要です。
2.Webサイトのアプリケーション
レンタルサーバーの場合、サーバー会社側で管理するのはOSやミドルウェア部分までが一般的です。例えば、レンタルサーバー上でWordPressを運用している場合、その管理責任はWebサイト担当者にあります。常に最新のWordPress、プラグイン、テーマを利用し、脆弱性発見などのニュースに気を配っておく必要があります。また、頻繁なコンテンツの更新が必要ない場合は「WordPress自体を利用しない」という選択肢もありますので、Web制作会社などに相談してみるのも良いでしょう。
「WordPressはセキュリティが甘いから危険」という評判を耳にしますが、現在WordPressは世界最大シェアのアプリケーションであり、脆弱性のメンテナンスも迅速に行われています。プラグインやテーマについては、マイナーなもの・古いものを使うと脆弱性が潜んでいる場合があるため、常に新しいものを使うように心がけ、適切なパスワードを設定し、定期的にアップデートを行いましょう。それさえ行っていれば十分に安全なアプリケーションと言えます。ただし、世界最大シェアであり、利用ユーザー数が多いため「悪意のある第三者」に狙われる可能性が自然と高くなる、ということは覚えておきましょう。
3.会社の業務用PC
過去に業務用PCがウィルスに感染してFTPアカウントが流出し、それ使ってWebサイトが改ざんされるという事件がありました。直接Webサイトに関係ないPCでも、「悪意のある第三者」から身を守るために、日頃からセキュリティ対策を行う必要があります。
このようにWebサイト運用・管理する方は、常に多くのポイントを気にしなければなりません。
インターネットは決して危険な場所ではない
セキュリティ関連の記事に出てくる「悪意のある第三者」とは、いわゆるサイバー攻撃を仕掛ける人全般を指すことがわかりました。Webサイトを運用していない普通の人でも、無料Wi-Fiスポットなどで盗聴の被害に遭うリスクがあります。悪意のある第三者から受ける被害は、Webサイトを運用している人に限ったことではありません。
「そこら中に悪意のある第三者がいるインターネットなんて怖くてもう使えない!」と思ってしまった方もいるかもしれませんが、交通ルールを守って車を運転するのと同じように、ルールを守って利用すればこんなにも便利なものはありません。安全に通信できる環境を作るために、SSL証明書も今日まで発展してきました。今後もよりセキュアでプライバシーが確保された通信を実現するために、ブラウザ、認証局、そして多くのエンジニアが日々改善を積み重ねているのです。
こちらの記事もあわせておすすめ!
本コラムでも紹介しましたが、フィッシング詐欺被害を防ぐコラム『詐欺サイトもSSL化が当たり前?!フィッシング詐欺被害を回避する4つの対策とは?』や、もう一度SSL証明書について改めて復習しておきたい方には『SSL証明書の必要性』もおすすめです。