証明書ライフサイクル管理については、なにかと話題になるものです。ところが 2017 年には、たった 1 つの電子証明書の期限が切れていただけで、いち企業が、しかも企業全体が大規模な被害を受ける事例が、ある大手調査会社で発生しました。

Equifax におけるデータ侵害

すべての発端は、Equifax がネットワーク追跡デバイスで使われている電子証明書の期限切れを発見できなかったことにあります。期限が切れていることに気づかなかったのですから、交換もしていませんでした。その結果、その結果、攻撃者がネットワークに侵入するのを防げていたかもしれない必須の脆弱性スキャンを、問題のネットワークデバイスは実行できなかったのです。

実際、ネットワークへの侵入が発生し、個人を識別できる情報（PII）が 76 日間にわたって複数のデータベースから盗み出されてしまいました。盗まれた PII のなかには、社会保障番号、運転免許証、クレジットカード番号といった機密性の高いデータも含まれていました。被害を受けた 1 億 5000 万以上の米国人ユーザーが、Equifax によって保護されているものと信頼していた情報です。

Equifax のデータ侵害事件は、近年まれに見る大惨事となりました。これに伴って同社が支払ったコストは、FTC の罰金だけで 5 億 7500 万ドルにのぼりましたが、同社の評価に対するダメージは計り知れません。

では、いったい何が問題だったのでしょうか。Equifax の失敗から、他社は何を教訓にできるのでしょうか。

致命的な失敗: 一元的な可視化の欠如

Equifax が証明書の期限切れを放置したという事実は、それだけでも大きな問題です。しかし、それ以上に衝撃的だったことがあります。問題のネットワーク追跡デバイスの証明書は、実際にシステムが侵入を受けた時点より 10 か月も前に失効していたのです。

一般的な消費者から見ると（そして、上院議員から見ると）、同社がこれほど重大なセキュリティ侵害を許してしまった経緯は実に不可解でした。しかし、PKI の保護に詳しい者からすると、答えは明白です。同社が電子証明書のインベントリを一元的に可視化できていなかったところで、もう問題は始まっていたのです。

電子証明書の管理責任は従来、PKI 管理者の肩にかかっていました。PKI 管理者は、組織全体の全証明書を監視すべく全力を尽くしていますが、そこで使うものといえば、スプレッドシートや内製のスクリプトなど、人為的なエラーの起こりやすいポイントソリューションばかりです。

こうしたツールのどれにも、個々の事業部門が所有する証明書を発見したり、インベントリ化したりする機能はありません。また、各事業部門の証明書所有者は、証明書が企業のポリシーやセキュリティ標準に準拠しているかどうかを確認することの重要性を理解していない場合も少なくありません。

Equifax でデータ侵害が発生するまでの経緯をひとつひとつ分析することはできませんが、それなりに根拠のある推測は立てられます。証明書有効期限を知らせるアラートが、すでに退職した管理者に送られていたというような、基本的なことかもしれません。あるいは、会社が承認していない認証局（CA）から証明書を調達していた可能性もあります。

間違いなく明らかなのは、このデータ侵害が壊滅的だったこと、そして証明書管理の不備で重大な影響を受けているのは、決して Equifax だけではないということです。

PKI 関連の障害は増加の一途

Equifax は、証明書関連の障害がもたらす被害を示す最も壮大な事例かもしれませんが、決して特異な例ということではありません。ほかにも、最近では以下のような例が公表されています。

• 2018 年の O2/Ericsson ネットワーク障害。期限切れの証明書が原因で、英国の顧客 3200 万人が約 24 時間にわたってあらゆる携帯電話サービスを使えなくなりました。
• 2020 年のカリフォルニア感染症報告システム（CalREDIE）の障害。期限切れの証明書が発見されなかったため、カリフォルニア州の COVID-19 症例数のうち相当数が計上されず、CalREDIE パートナーは数日間、検査結果をシステムにアップロードできなくなりました。
• 2021 年の Azure Active Directory の障害。Office 365 や Xbox Live など Microsoft のサービスが 14 時間にわたって停止しました。

こうした事例も、毎年発生している障害のごく一部にすぎません。デジサートが実施した 2021 年の調査では、企業の 3 分の 2 が前年度に少なくとも 1 回、PKI 関連サービスで停止を経験したと回答しており、過去 6 か月間に 5 ～ 6 回の PKI 関連停止を経験したという回答も 25% にのぼりました。

これは持続的で一般的な問題であり、電子証明書の数が急速に増加するにつれて悪化の一途をたどっています。TLS/SSL 証明書は、ウェブサイトやウェブサーバーから、何百ものマイクロサービスを組み込んだコンテナ型アプリケーションまで、あらゆるものの認証に使われるようになっています。平均的な Global 2000 企業が抱える証明書の数は、今でもすでに数十万単位に達しているので、手作業だけで、あとは運を天に任せるようでは、証明書ライフサイクル管理に関して信頼性の高いアプローチはとうてい望めません。

NIST に聞く: 今こそ可視化を一元化するとき

2020 年 6 月、米国商務省標準技術研究所（NIST）は特別文書 1800-16: Securing Web Transactions, TLS Server Certificate Management（SP 1800-16）を発表しました。このフレームワークは、そのほとんどがコロナ禍に伴ってデジタルトランスフォーメーションの取り組みが加速するより前に書かれたもので、組織は「環境のあらゆる TLS サーバー証明書で明確な可視性を確立し維持する」必要があると強調し、以下のような証明書ライフサイクル管理の基本タスクを実行できるようにしています。

• 脆弱なアルゴリズムの使用など、潜在的な脆弱性を発見する。
• 期限切れの証明書を特定して交換する。
• 規制ガイドラインや企業ポリシーに必ず準拠する。

重要な TLS サーバー証明書を見落とすリスクを最小限に抑えるために、一元的な証明書インベントリを運用するよう NIST は推奨しています。そうなると、ひとつの疑問が浮かびます。Equifax に先見の明があり、DigiCert^® Trust Lifecycle Manager のように、ネットワーク全体を可視化できる効果的な証明書ライフサイクル管理（CLM）ソリューションを導入していたら、どうだったでしょうか。

この疑問に対する答えはわかっています。証明書の有効期限が近づいていることを警告するアラートメッセージが出ていたはずです。そうすれば同社も、攻撃者が実際に億単位のユーザーの機密情報に手を触れるずっと前に、証明書を更新できていたでしょう。

デジタルトラストに関する最新情報

データセキュリティ、コードサイニング証明書、証明書ライフサイクル管理などのトピックについて詳細をご希望ですか？ 記事を見逃さないようにデジサートのブログを参照してください。