国内・海外の暗号資産交換業者のWebサーバのセキュリティレベルと設定の調査
株式会社BUIDLの藤谷といいます.
国内と海外の暗号資産交換業者(以下:取引所)の実態調査を行なっていたので,それについての記事を何回かに分けて書こうと思っています.
2回目の今回は,TLS サーバのセキュリティレベルと設定をテストできる診断ツールとしてQualys SSL Labs の SSL Server Test[5]を使用して,脆弱性テストを以前した結果を公開します.
もしTLS サーバの設定がうまくなされておらず,脆弱性が放置されたままであると,ユーザが安心して取引できるよう提供しているとはいえません.
また,セキュリティレベルが低かったり,設定がうまくされていないままであると,脆弱性をついた攻撃によるアカウント情報等の流出やWebサーバのハッキング,暗号の強度が弱いことによる暗号情報が復号されるなど,様々な危険性が想定できます.
初回の「国内・海外の暗号資産交換業者のEV証明書の取得率」については以下.
本稿では,金融庁から認可を受けた認可業者と認可申請中のみなし業者を「国内取引所」と定義し,それ以外を「国外その他取引所」と定義しています.
また,対象とした暗号資産交換業者は 2018 年 12 月 24 日時点で,Cryptocurrency Market Capitalizations [1],CryptoCoinCharts [2],WorldCoinIndex[3] に掲載されている取引所,および,金融庁 [4] より「みなし」もしくは「認可」を受けた取引所です.さらに,重複,未開設,閉鎖,Web ブラウザで取引サービスを行っていない取引所,を除外した 合計246 件の取引所を対象にしました.
Qualys SSL Labs の SSL Server Testとは
Qualys 社はアメリカの会社で,脆弱性管理サービスなどのネットワークセキュリティ分野で高く評価されており,同社の SSL Server Test は Google 社のウェブマスター向け公式ブログ[6]にも紹介されています.
評価は大きく 4 項目に分けられており,「Certificate(証明書)」,「Protocol Support(サポートされているプロトコル)」,「Key Exchange(鍵交換)」,「Cipher Strength(暗号強度)」となっており,この4項目の総合診断結果がA+ 〜 F 評価の8段階[7]になっています.この8段階のスコアが以下の表1のようになっています.ドキュメンテーション[7]によると,いくつかのいい設定をしているときにA+の評価を得られます.
この SSL Server Testを用いて,各取引所のログインページのドメイン名を検証する.
分析結果
以下の図1が取引所のSSL Server Testの診断結果です.A+,A,B評価の3段階ありました.
A+,A評価が望ましいと考えられるため,国内取引所は87%,国外その他取引所は94%が望ましい評価を得ていることがわかります.
B評価は設定に対して警告があるときにB評価になります.表3が,このB評価が出された警告メッセージ(15社分)の一覧とその数です.
11 件ともっとも数が多かったのが,” This server supports weak Diffie-Hellman (DH) key exchange parameters. ”で,これは鍵交換の暗号化方式の暗号強度が弱いことを指摘しています.
次に6 件と多かったのが,” This server does not support Forward Secrecy with the reference browsers.”であり,これは秘密鍵が漏洩しても暗号化通信された過去のデータの安全性を守ろうとする Forward Secrecy がサポートされていないことを指摘しています.
3 件と 3 番目に多かったのが,” This server accepts RC4 cipher, but only with older protocols.”であり,RC4 暗号方式は現在では危険と報告されているため,このような指摘がされています.
1 件だけであったのが,” This server’s certificate chain is incomplete.”であり,これは証明書のチェーン設定が一部不完全であるを指摘しています.
国内のオンラインバンキングのTLSサーバ脆弱性テスト結果と比較
ここで資産価値を扱うという点で同じである国内の銀行のオンラインバンキングサイトと取引所のWebサイトを比較してみます.
まずは国内のオンラインバンキングのSSL Server Testの診断結果が図2です.図2の通り,A,B,C,F評価の4段階ありました.
A+,A評価が望ましいと考えられるため,A+評価はなく,A評価もわずか7%,B 評価が 89%,取引所の評価ではなかった C ならびに F 評価が2%という診断結果でした.
A評価以上が7%の銀行のオンラインバンキングに対し,国内取引所は87%,国外その他取引所は94%がA評価以上と,比較すると高い評価であることがわかりました.
表4にて,銀行のオンラインバンキングでの脆弱性テストで B 評価,C 評価,F 評価を含めた 全体と B 評価,C 評価,F 評価,それぞれに出された警告メッセージの一覧とその数を示します.
もっとも多かったのが,Forward Secrecy がサポートされていない警告であり全体で 102 件ありました.
次に全体で 51 件と多かったのが,取引所の脆弱性テストにはなかった”This server does not support Authenticated encryption (AEAD) cipher suites. ”であり,これは認証付き暗号とよばれるデータの秘匿性,完全性,認証性を同時に提供する暗号利用モードが提供されてないと警告しています.
3 番目に全体で 24 件であったのが,RC4 暗号方式を使用していることの警告でした.
4 番目に全体で 11 件であったのが鍵交換の暗号化方式の暗号強度が弱い警告です.
ここからは B 評価には出ておらず,C 評価のみに出現した警告です.
C 評価に 2 件あったのが,” The server supports only older protocols but not the current best TLS 1.2.”であり,TLS1.2 に対応していないという警告です.C 評価に 1 件だけあったのが,” This server uses SSL 3 which is obsolete and insecure.”であり,これは SSL3 はもはや用いられずセキュリティ的に危険であるのに SSL3 を使用していることの警告です.
次に F 評価に出された直ちに解決したほうがいい重大な問題のメッセージを示します.
F 評価は 3 件あり,この 3 件ともに”This server is vulnerable to the Return Of Bleichenbacher’s Oracle Threat(ROBOT) vulnerability.”が出されました.
これは,ROBOT と呼ばれる RSA 暗号を使った TLS 通信の暗号化を破る攻撃手法に対して脆弱性があると指摘されており,危険度の高い RSA 暗 号モードを無効にすべきと ROBOT 攻撃をみつけた研究グループは指摘 [7] しています.
このように,国内のオンラインバンキングと比較した時に,取引所はいい結果になっており,TLSサーバの設定等がきちんとできている傾向にあることがいえます.
これは,取引所がここ数年で急激に増加し,サーバのスタートアップもここ最近の話であることから,設定も比較的新しい内容になっているからではないかと考えています.また,銀行のサーバはスタートアップから少なくとも10年,20年以上は経っていて,古い設定がそのまま依然残されているからではないかと考えています.
BUIDLでは一緒に働くメンバーを募集しています!
現在の募集職種はwantedlyをご確認ください。
会社のフォローと、募集への応援もお願いします!
BUIDLのTwitterもぜひフォローお願いします!
