SSL製品本部
SSLプロダクトマーケティング部
上席部長
安達 徹也 氏
今日、インターネット上では、ECサイトなどを中心にユーザーの住所や氏名、クレジットカード番号など、重要な各種個人情報がやり取りされている。そうしたなか、悪意ある第三者がそれら情報を盗聴などの手段によって窃取し、悪用するという犯罪も増えている。
一方、昨今ではスマートフォンをはじめとするモバイルデバイスの普及によって、公衆無線LANのアクセスポイントが様々な場所に配備され、ユーザーが駅やコーヒーショップなどから、随時、インターネットにアクセスできる環境も整っている。「そうした無線環境では、盗聴のリスクもとりわけ大きいです。仮に決済などにかかわる重要なページがSSLによって暗号化されていたとしても、そのページに遷移するほかのページでやり取りされるCookieが攻撃者によって窃取され、格納されたセッションIDを使って“なりすまし”による不正アクセスが行われてしまう危険性も高まっています」とシマンテックグループである日本ベリサインの安達徹也氏は警告する。事実、そうした手法で同じホットスポットに接続している他人のアカウントでのなりすましを可能にしてしまう「Firesheep」といったツールも流通している。
対処法として、サイト側でCookieの共有範囲をHTTPS通信に限るという設定を行うという工夫も可能。だが、そうするとサイトの画面遷移の設計が非常に複雑になってしまう。加えて、例えばECサイトなどで、HTTPSで保護された過去の決済情報などを基に、その顧客に最適な商品情報画面をダイナミックに表示するといった仕組みを採用することも困難になる。
「こうした問題をトータルに解消するための方策として、今日様々なサイトで取り組みが進められているのが、サイト内のすべてのページにSSLを適用して安全性を高める『常時SSL』というアプローチです」と安達氏は語る。