SSL・TLS を利用したサイバー攻撃が急増しています。今回はSSLとTLSの違いから具体的な攻撃対策について解説します。

（画像出典：Nearly half of malware now use TLS to conceal communications：https://news.sophos.com/en-us/2021/04/21/nearly-half-of-malware-now-use-tls-to-conceal-communications/）

「SSL」と「TLS」の違いは

「SSL：Secure Socket Layer」、「TLS：Transport Layer Security」ともにコンピューター同士が安全にデータのやり取りをするための暗号通信プロトコルです。TLSはSSLの次世代規格ですが、一般的に「SSL」は「TLS」を指していることが多く、両方をふまえて「SSL/TLS」と表記されることもあります。2008年8月に「TLS 1.2」がリリースされ、2018年8月に、現バージョン「TLS 1.3」が公式リリースされています。

例えば、ECショップで、名前・住所・クレジットカード情報などを入力した際に、情報を悪意のある第三者に盗み見られても暗号化して解読が困難な状態にする仕組みが「SSL/TLS」です。

マルウェアの45％がTLSを隠れ蓑に

この「SSL/TLS」をサイバー攻撃の隠れ蓑にして、検知されないように、「SSL/TLS」を利用するケースが増えています。ソフォスのレポートによると「SSL/TLS」を利用したサイバー攻撃は2020年年初は全体の23%でありましたが、2021年1月～3月の間に検出したマルウェアの45%が悪意のある通信を隠すために「SSL/TLS」を使用していて、特にランサムウェア攻撃で[SSL/TLS」が使用されるケースが増加していることが報告されています。

「SSLで暗号化されているサイトは安全」は過去の話

企業の情報システムはUTM（統合脅威管理：Unified Threat Management）等の導入により、ファイアウォール機能に加え、アンチウィルスや IPS、スパム、URL フィルタ等の様々なセキュリティ機能により守られていますが、アンチウィルスと IPS/IDS は主に第4層（トランスポート層）のパケットの中身を見るので、第５層（セッション層）、第6層（プレゼンテーション層）、第7層（アプリケーション層）を「 SSL/TLS 」で暗号化された通信については検知することができない場合があります。

また、現在のファイアーウォールでは、大幅な速度の低下を避けて、TLS/SSL インスペクションを利用するには、必要なパフォーマンスが不足しているという理由から、ほとんどの組織では何もできない状態に置かれています。

そこで重要になるのが次世代UTMに搭載されているTLSインスペクション機能です。「SSLで暗号化されているサイトは安全」というhttpsに対する信頼性は完全になくなりつつあり、全てのトラフィックに対してインスペクション（検知）を実施する必要があります。

SSL/TLS を利用したサイバー攻撃対策

SSL通信を含む全てのトラフィックに対し、TLS1.３をネイティブサポートしたインスペクションを実施していて、未知の攻撃を検知して対処するAIを搭載している次世代ファイアウォール（UTM）の導入がお勧めです。

最新の次世代ファイアーウォール Sophos Firewall XGSシリーズは、2つのCPUによりパフォーマンスを向上させ、TLS 1.3をネイティブにサポートした業界最高水準のTLSインスペクション機能を実装しています。 また、未知の脅威を検出するために設計されたディープラーニング型AIを搭載しています。

Sophos Firewall XGSシリーズ カタログのダウンロードはこちらから
Sophos Firewall は TLS 1.3 をネイティブにサポートしており、トラフィックが問題を起こしたかどうか、何人のユーザーが影響を受けたかを明確に表示するユーザーインターフェースを提供しています。数回クリックするだけで、問題のあるサイトやアプリケーションを、不適切な保護レベルに戻ることなく、除外することができます。