Criminal IPで分析したロシアサイトの証明書の有効期限状況

ロシアによるウクライナ軍事侵攻が続く中、世界中の国とあらゆる業界でロシアを経済的およびサイバー空間から孤立させる様子が発見されている。サイバーセキュリティの業界でも例外ではない。ロシアの戦争が続く間にTLS・SSL証明書が期限切れになるロシアのサイトに国際認証機関の更新を認めないことでロシアを圧迫している。

TLS(Transport Layer Security、トランスポート・レイヤー・セキュリティ)/SSL(Secure Sockets Layer、セキュア・ソケット・レイヤー)証明書はドメインに適用され、ユーザーとサーバー間の暗号化情報交換を通じてセキュリティを強化する手段として使用される。TLS/SSL証明書が期限切れになったサイトは、ユーザーがGoogle Chrome、Microsoft Edge、Mozilla Firefox、Safariなどの一般的なWebブラウザを介してそのサイトにアクセスすると、安全ではありませんという警告メッセージが表示される。すなわち、ユーザーの接続が減少する可能性がある。検証済みTLS/SSL証明書を利用しないと、ウェブ基盤のビジネスを運営する金融、IT、イコマースを含むすべての企業のビジネス運営に問題が生じ、売上のダメージまでもつながる問題である。


独自認証局で制限された証明書を発行するロシア


国際認証局が証明書の更新を認めてくれないと、ロシア政府は独自TLS認証局を設立し、TLS証明書を認め始めた。そのCAホームページにアクセスすると、海外のセキュリティ証明書が取り消されたり期限切れになった場合には、これを置き換えるというメッセージが表示されており、要請して5日以内に法人及びサイトの所有者に提供されるという案内も知られている。

ロシアの独自認証局ホームページ(https://www.gosuslugi.ru/tls)


ロシアは現在、200に近いドメインに国内TLS証明書を利用するよう伝えたが、義務ではないと伝えられる。ホームページではロシアの証明書が発行されたドメインリストを公開しているが、現在300以上のドメインリストが公開されており、そのリストにはロシアの銀行、大学などの主要のサイトが含まれている。

ロシアの証明書が発行されたドメインリストの一部(提供: gosuslugi.ru/tls)


 Criminal IPで分析したロシアサイトの証明書の有効期限状況


Criminal IPで収集したデータを活用した結果、ロシア証明書の更新が拒否されていることが知られた10日から16日まで、ロシアドメインコード(ru)を使うサイト統計を見ると、証明書が期限切れになったドメインは10日から順次115,554、94,072、120,751、121,820、70,287、6,980、4,012のサイトで、1週間証明書が期限切れになったドメインは合計533,476に至る。このうち、Chromeでアクセスが難しいサイトは、ロシアの旅行サイトhttps://russian-tour.com/、ロシアのショッピングモールサイトwww.santehnikavdom.ruなど、多数のサイトが含まれている。

.ruを利用するドメインが合計25,311,304であることを見て、現在まで約0.5%のロシアサイトで証明書警告メッセージが表示される。侵攻20日が過ぎた現在、ロシアのウクライナ侵攻が今後さらに1週間持続する場合は、合計1,318,388のサイトが安全ではないサイトに分類される。侵攻が3月末まで続くと、合計2,185,199のサイト、すなわち、約2%のサイトが運営が難しくなると予想される。戦争が続くと続くほど、その数は飛躍的に増加するように見える。

3月期限切れになるロシアサイトの数


国際制裁を解決するに足りないロシアのCA


さらにロシアの対応は国際ブラウザの信頼を得られず、大きな効果を享受するには足りないと見える。新しく設立された認証局(CA)は、各ブラウザの検証が必要であり、現在までロシア企業のブラウザであるYandexとAtomだけがロシア証明書を信頼する状況である。しかし、ロシアのブラウザさえさえもウェブサイトのアクセスが不可能な場合があり、事実証明書が期限切れになるサイトではユーザーのアクセスが不可能であると言える。ChromeやEdgeを利用したいユーザーは、ロシア語のルート証明書を追加してアクセスすることもできるが、ロシアのHTTPSトラフィック傍受攻撃が発生する可能性があり、利用しにくい状況だ。つまり、ロシアの証明書を新たに発行されてもユーザーの離脱を防ぐために、安全なサイトであることを証明し、ロシアのブラウザでアクセスるよう追加の案内や措置を取るべき状況である。以下は、ロシア旅行サイトのドメイン、https://russian-tour.com/にChromeとYandexでアクセスした際、表示される警告メッセージである。
Chromeでrussian-tour.comにアクセスする際、表示される警告ページ

Yandexでrussian-tour.comにアクセスする際、表示される警告ページ


続くグローバル企業のロシアブロック


一方、SSL/TLS問題は国際認証局の対応のほか、ウクライナ側から直接攻撃的に行動することも見られた。最近、ウクライナは国際インターネット機関であるアイカン(ICANN)にロシアのウェブサイトを公共のインターネットからブロックするよう要請した。この要求には、TLS/SSL証明書の無効化、DNSルートサーバーの停止、特定の国コードとドメインを無効化などの内容が含まれていた。これに対してアイカンはできる領域ではないという理由で断ったが、マイクロソフトのような一般企業ではアイカンのような国際機関とは異なり、ロシアの顧客を直接ブロックし、ロシアに関する営業行為まで中断するなど、ロシアの阻止に先んじている。

このような状況を見て、ロシアデジタル技術部は「海外でロシアサイトへのサイバー攻撃が絶えない」と表現し、ロシアでも最近主なソーシャルネットワークサービス(SNS)であるインスタグラム、フェイスブックなどの接続をブロックしたところ、ロシア内でのVPN(Virtual Private Networks、 仮想プライベートネットワーク)アプリケーションのダウンロードの回数が急増する状況が発生したこともある。

このように、国際機関とグローバル企業のロシアブロックは、戦争国に対する国際的な制裁と反対意志がサイバー空間でインターネット断絶という形で表明されることを示唆する。国際的な反対と国民の不満をあとに残り、正当化されていないウクライナ侵攻を続けるロシアに対して、しばらく国際機関や企業のロシアブロックは続くと予想される。

【公式】Criminal IP Japanブログ

サイバー脅威インテリジェンス検索エンジンCriminal IPが収集・分析したあらゆるサイバーセキュリティ・脆弱性情報、サイバー攻撃対策やCriminal IPの検索コツなどをお届けします。

0コメント

  • 1000 / 1000