政府機関のWebサイトが改ざんや盗み見のリスクにさらされていることが日経コンピュータと日本経済新聞の調査により2017年12月2日までに分かった。中央省庁の8割弱が閲覧中の不正介入を防ぐ「常時SSL化」をWebサイトに施していない。

 米国は政府が発信する情報の信頼性を高める目的でほぼ完了済み。英国も義務化している。日本は人手や予算の手当てが遅れており、公開情報を活用するネットサービスに支障が出る恐れもある。

 「保護されていません」。2017年10月下旬以降、米グーグルのWebブラウザー「Chrome」のバージョン「62」を使って経済産業省や総務省のサイト内を検索するとこんな警告が出るようになった。ログイン画面など一部ではなく、サイト全体で通信を暗号化する常時SSL化が済んでいないと、入力内容を傍受され、利用者の嗜好や行動が第三者に把握される懸念があるという。

常時SSL化は2010年代に入って必要性が認識され始めた。サーバーを直接攻撃せず、通信途中に第三者が割り込んで通信内容を変更する「中間者攻撃」が発達したからだ。

 公衆無線LANの普及が中間者攻撃の危険性をさらに高め、サイト内容の書き換え、利用者が送る情報の改ざんやなりすまし、閲覧履歴の盗み見などの被害に遭いやすくなった。マルウエア(悪意のあるソフトウエア)が仕込まれたWebサイトに誘導されるリスクも潜む。

常時SSL化に対応したサイトはわずか2割

 日経コンピュータと日本経済新聞が2017年9月下旬から10月下旬まで調べたところ、中央省庁37機関のうち常時SSL化を終えているのは内閣官房や国家公安委員会、国税庁など9機関。残る28機関は問い合わせや電子申請の画面など対応は一部にとどまる。独立行政法人など政府系106機関のうちでも常時SSL化が完了しているのは2割強だった。
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/112801222/