Microsoft が Edge のブラウザ エンジンを Google の Chromium に置き換える決定を下すのは早すぎたのかもしれない。
セキュリティ評議会 (CASC) によると、現在の Edge ブラウザは、疑わしい Web サイトを識別してブロックする点では、市場で最も高速で安全なブラウザです。
CASC は 2019 年に向けた一連の予測を発表しました。これには、12 か月以内に世界の http トラフィックの 90% 以上が SSL/TLS で保護されるという主張も含まれていますが、セキュリティに関して現状がどこにあるのかも検討されています。
そして驚くべきことに、フィッシング Web サイトに関しては、Chrome や Firefox ではなく Edge が優位に立っています。
業界団体はEdgeに93.6%の「保護スコア」を与えた。一方、Chromeは87.9%、Firefoxは87.0%にとどまった。このスコアは、各ブラウザがフィッシングサイトをどの程度の割合で特定し、一定期間にわたってブロックしたかを示すことで算出された。
Edge はフィッシング サイトの 98 パーセントを特定することに成功しましたが、他の 2 社は 96 パーセントにとどまりました。しかし、重要な評価基準は、その速さでした。フィッシング詐欺師は、サイトが数日以内にブロックされることを理解し、できるだけ早く大きな影響を与えることに全力を注いでいるからです。
迅速な発見とブロックに関しては、Edge は Chrome や Firefox を上回り、フィッシング サイトの 89% を即座に阻止しました。これは Chrome よりも約 10%、Firefox よりも約 12% 高い数値です。
2日間で、Edgeは怪しいサイトの97%を遮断し、ChromeとFirefoxは95%でこれに続きました。しかし、CASCは、このパフォーマンス向上でもまだ十分ではないと訴えています。
「マイクロソフト・スマートスクリーンやグーグル・セーフブラウジングなどのブラウザフィルターは、多くのフィッシングサイトを検出するのに効果的だが、ほとんどのフィッシングサイトは数日ではなく数時間で開設され、削除されるため、何千人ものユーザーがブラウザフィルターによって実質的に保護されていないことになる」と同社は述べている。
ここはフィッシングフィッシング
なぜこれが重要なのか?CASCは、ブラウザのセキュリティは一部改善されているものの、来年はフィッシングサイトの数が急増すると予測しているため、警告している。「本物のウェブサイトを模倣した暗号化されたフィッシングサイトの問題は、2019年に大幅に悪化すると予測しています」とCASCは述べている。
また、2012年から今年までのマルウェアサイトとフィッシングサイトの数を示す興味深いグラフも作成されています。傾向は顕著で、マルウェアサイトは2017年に約60万件でピークを迎えましたが、2018年には新たなセキュリティ対策の導入が大きな影響を与え、約10万件まで減少しました。一方、フィッシングサイトは急増しており、1年で50万件から100万件以上に倍増しました。
証明書はマルウェアを排除していますが、フィッシング詐欺師は抜け穴を見つけました。
「暗号化を使ってユーザーを騙すフィッシングサイトが急増していると言っても大げさではない」とCASCは指摘し、フィッシングサイトが匿名の無料TLS証明書を使ってセキュリティチェックを回避している(少なくとも一時的には)ことを示す別の調査の最近の結果に警鐘を鳴らしている。
「暗号化されたフィッシングの増加は、主にドメイン認証証明書を介して発生しています」とCASCは指摘しています。「これらの証明書は自動化によって取得でき、匿名性が高く、身元情報も必要ありません。」
CASC がフィッシング問題を指摘したことには、次のような動機があることは容易に想像できる。ブラウザがメンバーの証明書に高い信頼性を与えたり、無料の代替証明書を格下げしたりすれば、ブラウザはすぐに利益を得られ、無料証明書を提供する企業はより厳しい市場に直面することになる。
しかし、その主張は依然として有効です。安全な証明書のおかげでインターネットはより安全になりつつあり、Web サイトに証明書がない場合にはブラウザが警告を表示します。しかし、無料の証明書を提供する企業はオンライン犯罪者の標的となり、その改善を損なうリスクがあります。
ログ記録
報告書の興味深い点は、CASC が 2019 年に「証明書の透明性 (CT) ログに対する国家主導の大規模な攻撃によりインターネットが停止する」と予測していることです。
公式発表。マイクロソフトがGoogleをEdgeに追い越し、ブラウザをChromiumエンジンに移行
続きを読む
これは、ChromeとSafariが、ブラウザが証明書を信頼する前にログに記録することを義務付けていることを指しています。Firefoxも近日中にこの取り組みに参加すると発表しています。円滑な手続きのため、認証局は証明書を正式に発行する前に「事前ログ」を記録し、ウェブサイトが初日から信頼できる状態になるようにします。しかし、CASCは、ログが格好の標的になると警告しています。
CASC は、CT ログ記録は「世界中の Web サイトにとって単一障害点となる」と警告しています。「結局のところ、Web サイトがログ記録済みとして認識され、ブラウザーによって「信頼」されている証明書を取得または更新できない場合、その Web サイトは実質的にダウンし、ユーザーと通信できなくなります。」
そのため、主要な CT ログに対するサービス拒否攻撃は、「世界中の主要なウェブサイトをシャットダウンする目的で国家が仕掛ける可能性のある種類の攻撃」を引き起こす可能性があります。
CASCは、先月、GoogleのCTログが1時間以上にわたって集中攻撃を受けたという、疑わしい攻撃があったと指摘しています。Googleは今週、このインシデントに関する事後分析を公開し、この攻撃は実際にはログをC++からTrillianに移行した際に発生した追加トラフィックの結果であり、同社の自動システムがこれを攻撃と解釈したと述べています。
いずれにせよ、重要な点は変わりません。CTログは、世界中のインターネットを混乱させる非常に効果的な手段となり得るのです。CASCは投稿の中で解決策を提示していません。®
