Ameba Ownd

アプリで簡単、無料ホームページ作成

【公式】Criminal IP Japanブログ

SSL証明書が期限切れになったまま漏洩されるウェブページ

2022.07.06 01:08
SSLとはサーバーとブラウザの間で送信されたデータの内容を暗号化して安全に転送する役の プロトコルです。このようなプロトコルを実現する電子ファイルを SSL証明書 と呼び、SSL 証明書をサーバーに 設置することでSSLプロトコルを 利用したセキュリティ通信ができると共に証明書情報にある社名でサイトを運営する企業を 特定することも可能です。


SSL証明書は2020年9月以来、最大1年までは発行ができ、自動で更新されないため、毎年更新の日付を守って必ず再発行と設置をしなければなりません。 


更新期限を逃して期限切れになる場合は、ブラウザで入力する情報が漏洩され、被害を受ける可能性があります。何よりもウェブサイトの セキュリティ設定が 脆弱であることに伴い、サービスが ちゃんと運営されない状況がさらされるため、ウェブ サイトとサービス提供者に対するユーザーの信頼好意が下がる致命的な被害が発生します。


例えば、この前、世界最大の音楽ストリーミングサービスの Spotify が証明書の更新期限を逃して通常通りにサービスを提供せず、ユーザーからのひどい非難を浴びた事件がありました。


Criminal IP (https://www.criminalip.io/ja) のIT資産検索で ssl_expired フィルターを利用すると、インターネットページのSSL証明書の期限切れの状態を確認できます。



[Criminal IP Search 101- 期限切れのSSL証明書を使うウェブサイトを見つける方法]

Search Keyword: "ssl_expired: true"

ssl_expired: trueで検索したSSL証明書が期限切れになったウェブページが
全て11,000,000件が超えて検索される

SSL証明書が期限切れになったウェブサイトの画面でウェブサイトの信頼が下がる


AS Name、HTML フィルターの追加を活用した SSL 証明書 の期限切れの状態を確認


上のフィルター検索結果で as_name フィルターを追加すると、SSL証明書が期限切れになったウェブページを特定の企業に絞って検索できます。


Search Keyword: "as_name: Spotify ssl_expired: true"


Spotifyが運営するウェブブラウザの中で
SSL証明書が期限切れになったページが7件確認される


また別の大手企業であるIKEAで運営するウェブページの中で、期限切れになったSSL証明書を持っているウェブページも検出され、その中ではVPNサービスを提供するサイトも発見されました。


Search Keyword: "as_name: IKEA IT AB ssl_expired: true"

as_name: ikea IT AB ssl_expired: true を検索して見つけた
IKEAが所有するVPNアクセスサイト


さらに、ログイン機能でユーザーの情報を収集するウェブ ブラウザの証明書が期限切れになった場合は、これを利用したハッキング攻撃によってユーザーの個人情報漏れの可能性も高くなります。すなわち、サービス運営の企業とユーザー、両方に最悪の被害を当たる状況がなりうるのでウェブページの運営者は細心の注意を払うべきです。

html_meta_title フィルターを追加して、SSL証明書が期限切れになったログイン ページを見つけ出せます。


Search Keyword: "html_meta_title: login, ssl_expired: true"

html_meta_title: login、ssl_expired: true を検索して見つけた
SSL証明書が期限切れになったログインページが全て219件確認される

SSL証明書が期限切れになったログインページのアドレスバーへ
「保護されていない通信」で表記されている。

データの提供