出典:HA Photos(Alamy Stock Photo経由)
論説
2年前、Encrypted Client Hello(ECH)の導入は、企業のサイバーセキュリティ専門家とプライバシー擁護者の間で意見を二分しました。インターネット暗号化標準であるTransport Layer Security(TLS)1.3の拡張機能であるECHは、エンドポイントデバイスとウェブサーバー間の通信を保護します。ECHはユーザーのプライバシーを向上させる一方で、可視性を低下させるため、セキュリティ面では必ずしも好ましいものではありません。
TLSにはすでに馴染みがあるでしょう。ブラウザのアドレスバーに表示される南京錠のアイコンやhttpsの表示は、そのウェブサイトがこのインターネット標準を使用していることを示しています。しかし、これはクライアントマシンとサーバー間の通信内容が接続確立後に暗号化されることを意味するだけです。クライアントマシンは、サーバーとの暗号化接続が確立される前に、アクセスしようとしているウェブサイトのドメインを明らかにする可能性があります。ユーザーやサーバーが注意を払っていても、宛先のウェブサイトやサーバーアドレスは、モバイル事業者、ISP、企業のセキュリティチーム、悪意のある第三者に見えてしまうことがあります。
ECHの目的は、クライアントとサーバーが暗号化接続を確立する前に、両者間でやり取りされる内容を暗号化することでユーザーのプライバシーを向上させることでした。
しかし、ECHがユーザーのプライバシーを向上させる一方で、可視性、つまり脅威を検知し対応する能力が損なわれるという代償があります。Secure Web Gatewayや次世代ファイアウォールなどのサイバーセキュリティツールは、ユーザーがアクセスしようとしているドメインの可視性を必要とします。その可視性がなければ、企業は悪意のあるドメインへの接続を特定しブロックする努力が妨げられます。
このトレードオフは、特に銀行や他の厳しく規制された業界の企業にとって重要です。これらの業界では、すべてのインターネットトラフィックの監視が求められることが多いからです。ECH導入前は、これらのツールは従業員のPII(個人を特定できる情報)などの機微なデータを見ずに、選択的にトラフィックを復号できました。しかし、ECHによってフィルタリングツールがブロックされる組織では、規制遵守のためにすべてのトラフィックを復号しなければならず、結果としてユーザーのプライバシーがさらに損なわれます。
今年初め、私たちはECHの導入状況と企業ユーザーへの影響を理解するため、数十億件の接続を調査しました。その分析から、良いニュースと悪いニュースが明らかになりました。全体の導入率は非常に低いものの、悪意のあるサイトやリスクの高いサイトがすでにECHを利用したセキュリティの死角を突いて、ECHを使用するサイトの中に入り込んでいるのです。
ECHを利用しているのは誰か?
ごくわずかです。トラフィック量で上位100万サイトのうち、ECHをサポートしているのは1割弱、実際にECHを使用している接続はわずか0.06%です。これは、デバイス側とサーバー側の両方の要因によるものです。
ECHの広範な導入には、クライアント側とサーバー側の両方での対応が必要です。
クライアント側では、ユーザーはECHをサポートするブラウザ(例えばChromeやFirefox)が必要であり、DNSクエリを隠すために暗号化DNSを利用し、対応するリゾルバにアクセスするようシステムを設定する必要があります。モバイルに関しては、AppleのiOSはECHをサポートしておらず、私たちの調査ではAndroidデバイスのうちECH対応ブラウザを使用し、暗号化DNSを設定しているのはわずか30%でした。
サーバー側では、ウェブサイトがECHを有効にする最も簡単な方法は、ECHをサポートするコンテンツデリバリネットワーク(CDN)を利用することです。現時点でECHをサポートしている主要なCDNはCloudflareのみです。ごくごく少数の例外を除き、ECHをサポートしているサイトはすべてCloudflareのインフラを利用しています。実際、ECHの導入率は人気の低いサイトほど高くなっています。上位1,000サイトのうちECHをサポートしCloudflareインフラを利用しているのはわずか3%、上位100サイトではわずか1%でした。
導入率は低いが、リスクは残る
インターネット接続の1%にも満たない割合でECHが使用されているとしても、ECHを導入しているウェブサイトの中には、企業のセキュリティ担当者が警戒すべき明確な警告サインが存在します。
悪意のある攻撃者はCloudflareのインフラがもたらす機会に気付き、私たちの分析ではフィッシングサイトの90%以上がCloudflareのインフラを利用していることが判明しました。企業のセキュリティ担当者は、これらの脅威を真剣に受け止める必要があります。ECHの影響により、セキュリティリーダーはフィッシング攻撃やその他の脅威からユーザーを守る能力に、これまでほど自信を持てなくなっています。
今後ECHはどうなるのか
ECHの導入により、多くのセキュリティ専門家は自分たちのツールが効果を失うのではないかと懸念しました。しかし私たちの調査によれば、そのような「可視性の終焉」はまだまだ先の話です。特にAndroidやiOSのモバイルデバイスでは、ユーザー側・インフラ側双方に大きな導入障壁が存在します。これらのユーザー層で短期的・中期的に大きな導入の変化が起こる可能性は低いでしょう。
企業のセキュリティチームは、ECHに関する最悪の懸念が現実になっていないことにひとまず安堵できます。しかし、ECHの導入状況や影響を追跡することはもはや選択肢ではありません。情報セキュリティの専門家は、秘密性の新たなベールを利用する悪意のある攻撃者から組織を守るため、常に警戒を怠らない必要があります。
