政府機関のWebサイトが改ざんや盗み見のリスクにさらされていることが日経コンピュータと日本経済新聞の調査により2017年12月2日までに分かった。中央省庁の8割弱が閲覧中の不正介入を防ぐ「常時SSL化」をWebサイトに施していない。
米国は政府が発信する情報の信頼性を高める目的でほぼ完了済み。英国も義務化している。日本は人手や予算の手当てが遅れており、公開情報を活用するネットサービスに支障が出る恐れもある。
「保護されていません」。2017年10月下旬以降、米グーグルのWebブラウザー「Chrome」のバージョン「62」を使って経済産業省や総務省のサイト内を検索するとこんな警告が出るようになった。ログイン画面など一部ではなく、サイト全体で通信を暗号化する常時SSL化が済んでいないと、入力内容を傍受され、利用者の嗜好や行動が第三者に把握される懸念があるという。
常時SSL化は2010年代に入って必要性が認識され始めた。サーバーを直接攻撃せず、通信途中に第三者が割り込んで通信内容を変更する「中間者攻撃」が発達したからだ。
公衆無線LANの普及が中間者攻撃の危険性をさらに高め、サイト内容の書き換え、利用者が送る情報の改ざんやなりすまし、閲覧履歴の盗み見などの被害に遭いやすくなった。マルウエア(悪意のあるソフトウエア)が仕込まれたWebサイトに誘導されるリスクも潜む。
常時SSL化に対応したサイトはわずか2割
日経コンピュータと日本経済新聞が2017年9月下旬から10月下旬まで調べたところ、中央省庁37機関のうち常時SSL化を終えているのは内閣官房や国家公安委員会、国税庁など9機関。残る28機関は問い合わせや電子申請の画面など対応は一部にとどまる。独立行政法人など政府系106機関のうちでも常時SSL化が完了しているのは2割強だった。
中央省庁で常時SSL化をしているのは9機関で、首相官邸、内閣官房、内閣サイバーセキュリティセンター、国家公安委員会、警察庁、個人情報保護委員会、国税庁、特許庁、原子力規制委員会である(順不同)。
一方、独立行政法人などの政府機関で常時SSL化をしているのは25機関で、医薬品医療機器総合機構、海技教育機構、経済産業研究所、国際観光振興機構、環境再生保全機構、国際協力機構、国立がん研究センター、国際農林水産業研究センター、国立女性教育会館、国立成育医療研究センター、国立病院機構、自動車技術総合機構、情報処理推進機構、情報通信研究機構、森林研究・整備機構、駐留軍等労働者労務管理機構、統計センター、土木研究所、日本学術振興会、日本スポーツ振興センター、日本原子力研究開発機構、日本貿易振興機構、北方領土問題対策協会、農畜産業振興機構、労働者健康安全機構である(順不同)。
米グーグルの検索サイトでそれぞれの機関名で検索。上位に表示された各機関のWebサイトに米マイクロソフトのWebブラウザー「Internet Explorer」などでアクセスして、暗号化されている(https)かを調べた。それぞれの機関が契約する認証機関による鍵アイコンの表示も確認して、常時SSL化への対応を調査した。
