SSLストリッピングとは何ですか?それを回避する方法は?

公開: 2021-10-07

SSLストリッピングはSSLダウングレード攻撃とも呼ばれ、簡単に言えば、ハイテクで検出されない盗聴です。

SSLストリッピング攻撃の目的は、被害者が気付かないうちに安全な通信を停止することです。 データの収集と操作がすべてです。

SSLストリッピングを使用すると、攻撃者は接続を安全なHTTPSから安全でないHTTPにダウングレードできます。 これにより、スパイやデータ操作に対して脆弱なままになります。

盗聴に少し似ていますが、もう少し技術的です。

ただし、盗聴とSSLストリッピングの両方に「中間者」(盗聴を行う人)がいます。 この場合、被害者のコンピューターから被害者のコンピューターへのトラフィックを傍受して再ルーティングするプロキシサーバーを作成するのはハッカーです。 その後、傍受した情報を使用して、やりたいことをほぼすべて実行できます。

ユーザーは、自分の情報が侵害されている、または侵害されていることに気付かないことがよくあります。これは、検索したページと実質的に同じように見えるページになってしまうためです。

このようにして、SSLストリッピングはユーザーをだまして、接続が安全でデータが暗号化されていると信じ込ませますが、暗号化が除去されているため、接続は実際には安全ではなく、データはプレーンテキストで送信されます。 それがSSL「ストリップ」と呼ばれる理由です。

SSLストリッピングはどのように機能しますか?

SSLストリッピングは3つで成功します。 必要なエンティティが3つ存在しないと、攻撃は発生しません。

ある必要があります:

  • 被害者のシステム
  • 安全なWebサーバー
  • 攻撃者のシステム

これらの3つの部品が配置されると、欺瞞の輪が回転し始めます。

これが例です。

 Janeは、安全なHTTPS対応のWebサイトから靴を購入しようとしています。
ハッカーであるジョンはこれに気づき、通信をキャプチャしてジェーンの機密情報を見たいと考えています。 クレジットカード番号、パスワードなどを考えてください。
これを行うために、ジョンは犠牲者との関係を確立することによって、取引の真っ只中に身を置きます。 これにより、ジェーンとセキュアサーバーとの通信が切断されます。
ジェーンは何が起こっているのか気づかず、買い物を続けます。 彼女が好きな靴を見つけて、ブラウザで銀行のサイトをリクエストすることで支払いに進みます。
ただし、リクエストはJohnに送信され、Johnは実際の銀行サイトのサーバーに転送します。
Webサーバーは、HTTPSURLの形式でJane-であると考えてJohnに応答を送信します。
次に、ジョンはコーディングスキルを使用して、安全なHTTPSURLを安全でないHTTPURLにダウングレードし、それをジェーンに渡します。ジェーンは、バックグラウンドで何が発生したかについて無知です。
ジョンの攻撃が成功したため、ジェーンが送信する情報は暗号化されなくなりました。 これにより、ジョンはパスワード、クレジットカードの詳細、自宅の住所などに完全にアクセスできるようになります。

ジョンのWebサイトとの通信はSSLで保護されているため、攻撃中にジョンの情報が危険にさらされることはないことに注意してください。

このプロセスは長くて時間がかかるように思われるかもしれませんが、SSLストリッピング攻撃を成功させるのに数分しかかかりません。

あなたのウェブサイトがSSLストリッピングするのを防ぐ方法

侵害されたページを検出することは困難です。 これが、SSLストリッピングが非常に危険である理由の1つです。 しかし、攻撃からWebサイトを保護するために実行できるいくつかの手順があります。

SSLストリッピング攻撃から保護する3つの方法があります。

  • SSL証明書
  • HSTS
  • HSTSプリロードリスト

SSL証明書

SSL証明書とは何かを理解することで、SSL証明書が攻撃からの保護にどのように役立つかをより明確に把握できます。

SSL証明書は、WebサイトのIDを確認し、サーバーに送信される情報を暗号化する小さなデータファイルです。 WebサーバーにSSL証明書をインストールすると、安全な南京錠アイコンhttpsプロトコルがアクティブになり、Webサーバーからブラウザーへの安全な接続が可能になります。

HSTS

HTTP Strict Transport Security(HSTS)は、HTTPS経由でのみ接続するようにコンピューターのブラウザーに指示することにより、より高いレベルのセキュリティを提供します。 また、暗号化されていない間は、コンピューターがHTTPを使用して接続しないことも必要です。

これらの2つのことを行うことにより、HTTSは、ブラウザーで開始されたSSLストリッピング攻撃が成功しないことを保証します。

ただし、HTTSは、SSLストリッピング攻撃に対する防弾方法ではありません。 最初にサイトにアクセスしたときにすでに攻撃を受けている場合は、HTTSをさかのぼって使用することは役に立たない可能性があります。

このため、ノッチを上げることをお勧めします。これにより、3番目になります。

方法–HSTSプリロードリストを使用します。

HSTSプリロードリスト

HSTSプリロードリストは、HTTPS接続のみを使用するWebサイトのグローバルインベントリです。

それはあなたのサイトに別のレベルのセキュリティを提供し、ウェブサイトの所有者はリストで自分自身を教育し、SSLストリッピング攻撃からウェブサイトを保護する方法を学ぶように促されます。

HSTSプリロードリストは、すべてのHTTPSリクエストのベースドメインでHSTSヘッダーを提供するように設定する必要があります。

次に、サイトをHTTPSプロトコルでのみロードする必要があることをすべてのブラウザに示します。 他のすべてのバリエーションは拒否されます。

つまり、HSTSプリロードリストは、ブラウザがHTTPを検出した場合にWebサイトへの接続を拒否することで機能します。

平均的なユーザーは、WebサイトがHSTS、HSTSプリロードリスト、またはその他の弱点を使用しているかどうかを判断できない場合があります。

これらの理由から、次のようなさらに安全なプライバシー保護オプションを検討することをお勧めします。

  • ワイルドカードSSL証明書
  • VPN
  • 教育

ワイルドカードSSL証明書

さまざまなSSL証明書の種類があります。 ワイルドカードSSLはその1つのタイプです。 単一の証明書で無制限のサブドメインを保護できます。 両方を同時に購入することで、セキュリティの追加レイヤーを提供し、SSL証明書のコストに追加できます。 これは、同じドメインに存在する複数のサイトまたはページをホストまたは管理するすべての人にとって優れたソリューションです。

VPN

仮想プライベートネットワークまたはVPNは、中間者を排除することにより、 SSLストリッピング攻撃を簡単に防ぐことができます。

ユーザーが攻撃者と共通のネットワークを共有している場合、攻撃はほとんど可能です。 ただし、VPNは安全なVPNトンネル内のすべてのインターネットトラフィックを暗号化して保護するため、ハッカーはあなたが同じネットワーク上にいることを認識せず、攻撃を防ぎます。

VPNセキュリティは、HTTP、HTTPS、ロックシンボルなどを常にチェックする必要性を軽減または完全に排除します。 ユーザー名、パスワード、その他の機密情報は、他のユーザーから保護されています。

教育

SSLストリッピングを理解して回避するには、教育が不可欠です。

ここでは、SSLストリッピングの犠牲にならないようにするためにユーザーが講じることができるいくつかの基本的な予防措置を示します。

  • WiFi :データを節約するため、または他の一見正当な理由のために、パブリックWi-Fiを使用したいという衝動が時々あります。 ただし、特に機密情報を送信する場合は、パブリックWi-Fiを使用しないでください。
  • HTTPS Everywhere:これは、ブラウザにHTTPSWebサイト経由でのみ情報を送信するように強制するブラウザ拡張機能です。 ユーザーはそれをダウンロードすることを奨励されるべきです。
  • HTTPS :URLの一部としてhttpsを入力するのは時間の無駄に思えるかもしれませんが、それはかなり大きな問題です。 入力しなくても、クリックする前にこれらの5文字が存在することを確認してください。
  • リンク:クリックしないと言えば。 リンクやメールが疑わしいと思われる場合は、疑わしいと思われるので、クリックしたいという衝動に抵抗してください。
  • Webサイト監視ツール:悪意のあるアクティビティを認識する最良の方法の1つは、プレミアムWebサイト監視ソフトウェアを使用することです。 これは、Webサイトでの異常なアクティビティに関するリアルタイムのアラートを提供するのに役立ちます。

概要

SSLストリッピングはバックグラウンドで行われ、ほとんどのユーザーは一般的に気づいていませんが、基本的な無料のSSL情報を備えているため、ユーザーとWebサイトの所有者は攻撃から身を守ることができます。