無料のデジタル証明を提供して、より多くのWebサイトが接続を暗号化できるようにしよう、という趣旨のイニシアチブLet’s Encryptが、立ち上げから6か月を過ぎた今日(米国時間4/12)、ベータを終了した。Let’s Encryptの基本的な考え方は、リソースが乏しくて公開鍵の証明を自力でできない小さなサイトに、自動化されたサービスを提供することだ。
支援組織Internet Security Research Group(ISRG)の一員であるMozillaによると、この6か月で同機関は170万あまりの証明を発行し、およそ240万のドメインネームの、HTTPS接続の確保を助けた。最近の例では、WordPressもそんなサイトのひとつだ。
暗号化された接続が数百万増えたといっても、しかしそれは、セキュアでないオンラインコンテンツの大海に落ちた水一滴にすぎない。Mozillaによると、2015年12月では、ページビューのわずか40%が暗号化され、オンライントランザクションの65%がセキュアなインターネットプロトコルであるHTTPSを使った。
ISRGに加わった企業や団体は、Mozillaのほかに、Cisco, Akamai, Electronic Frontier Foundation, IdenTrustなどだ。正規会員のほかに、Chrome、Facebookなどスポンサーも多い。
セキュアでないWeb接続にはプライバシーのリスクが当然あるだけでなく、ハッカーたちや、そのほかのタイプののぞき屋からの被害もありえる。Googleは同社のChromeブラウザーでセキュアでない接続を警告して、ユーザーがなるべくHTTPSでないWebサイトにアクセスしないようにしている。また、Webサイトの多くがセキュアな接続に移行するよう、奨励もしている。後者は、Googleの利益にもかなうことだ。
Let’s Encryptはなるべく多くのインターネット接続に鍵をかけるという、有意義な目標を掲げているが、セキュリティ企業のTrend Microが指摘したように、この機関自身も悪用に対する完全な免疫を持っていない。Trend Microが今年の初めに発見したのは、悪意ある広告主たちが‘domain shadowing’ というテクニックを使って、Let’s Encryptを利用して証明されたドメインのサブドメインを作り、そこに、銀行のトロイの木馬をホストしているサイトへのリダイレクトを挿入した、というものだ。
Trend Microはこう言っている: “善意ある技術でも、サイバー犯罪によって悪用されることがありえる。Let’s Encryptのような機関からのデジタル証明も、その例外ではない。証明を自動的に発行する証明機関が、それらのサブドメインの証明をうかつにも発行したため、サイバー犯罪を助けることになった。ドメインのオーナーはその問題に気づかず、予防もできなかった”。
“ユーザーは、‘セキュアな’サイトが必ずしも安全なサイトではないことに、留意すべきである。われわれの見解としては、悪用に対する最良の防御は、ソフトウェアをつねにアップツーデートに保って、悪用されうる脆弱性の数を最小化することである”、とTrend Microは付け加えている。