米政府閉鎖の影響で政府機関サイトの証明書が期限切れに

by

米国政府閉鎖の影響は国立公園や記念碑に留まりません。インターネットセキュリティ・統計会社の Netcraft によると、TLS 証明書の有効期限が切れた政府機関サイトが閉鎖し始めています。Netcraft のオンライン記事は、「.gov」ドメインを使用する 80 以上の政府機関サイトが証明書の期限切れが原因でセキュリティが確保されていないか、アクセスできなくなっているとしています。

TLS 証明書は、暗号化された HTTPS 接続で通信する Web サイトで使用されています。証明書は Web サイトの公開暗号鍵の署名に使用され、Web サイトへの接続がプライベートでかつ安全であることを保証します。ユーザーは自分がどのサイトにアクセスしているか、また、サイトとのやり取りが盗聴されていないかを知ることができます。

Web サイトの証明書自体は、ブラウザが信頼する CA (認証局) によって署名されています。サイト管理者は、サイトの暗号鍵の正当な所有者であることを証明するために証明書を時々更新する必要があります。

証明書の有効期限が切れている Web サイトにアクセスすると、ブラウザはそれを検出して警告を発します。

米国政府は現在の政府機関閉鎖の下、重要度の低い業務は行わないようにしていますが、TLS 証明書の更新もそれに含まれているようです。証明書が期限切れになると、Web サイトは警告を表示し始め、そして多くの場合、完全にアクセスできなくなります。

たとえば、NASA のロケットテスト部門の Web サイト (https://rockettest.nasa.gov) では、アクセスするとインタースティシャル警告と呼ばれる警告が表示されます。これは証明書が期限切れになっていることを意味しますが、アクセスしたユーザーは警告を無視し、自己責任で Web サイトにアクセスすることができます。連邦控訴裁判所の Web サイト (https://ecf-test.ca6.uscourts.gov) にも、同様のスキップ可能な警告が表示されます。

いくつかの Web サイトは HSTS (HTTP Strict Transport Security) のプリロードリストに含まれているために、アクセスしたユーザーは警告を無視してクリックすることができません。プリロードリストとは、HTTPS 経由でのみアクセスが可能で、ドメインが期限切れの場合にはアクセスすることが禁止されている Web サイトのリストです。ほとんどのブラウザベンダーはこのリストを持っています。

多くのサイトは、セキュリティ対策として HSTS プリロードリストに登録されています。これは、証明書の有効期限が切れている場合、ユーザーとサイトとの通信が傍受されたり転送されたりする危険性があるため、アクセスを完全にブロックする方が良いという考え方です。

たとえば、法務省のWebサイト (https://ows2.usdoj.gov) の証明書は 1 月 5 日に期限切れになったため、アクセスしようとすると証明書の警告が表示されますが、このサイトは HSTS プリロードリストに含まれているため、ユーザーは警告を無視してサイトを見ることはできません。

米政府機関のサイトを取り巻く状況は今後どうなるのでしょうか。政府閉鎖が続けば、証明書が期限切れになる政府サイトが増える可能性があります。しかし、自動更新するように設定されていれば、期限切れになる前に証明書は更新されます。

また、同様に更新の必要がある政府のドメイン自体が期限切れになった場合はどうなるのでしょうか。注意すべきは、.gov ドメインは米国政府の組織である DotGov を通して認可された省庁によってのみ登録が可能だという点です。したがって、サイバー犯罪者がドメインを購入して政府機関の Web サイトを詐称する可能性は限りなく低いでしょう。

とはいえ、万が一政府機関サイトが完全に閉鎖された場合、サイバー犯罪者にとって検索結果は各段に操作しやすくなります。検索エンジンが本物の Web サイトにアクセスできなくなれば、同名の偽サイトの検索ランキングを上昇させることは簡単です。

政府機関サイトの利用者にとって心配の種は、仮に Web サイトが利用可能であったとしても、更新されないということです。いくつかの Web サイト (https://www.data.govhttps://www.selectusa.govhttps://www.nist.govhttps://www.iat.gov など) は、アクセスはできても政府閉鎖中は保守を実施しないと説明しています。

対策として、証明書のエラーが表示される米政府機関のサイトにアクセスする際には注意してください。警告が表示されてもクリックできるからといって、そのサイトが安全とは限りません。備えあれば憂いなし、です。

Free tools

Sophos Firewall Home Edition

Boost your home network security.

Sophos Scan & Clean

Free second-opinion scanner for PCs.

Sophos Cloud Optix

Monitor 25 cloud assets for free.