『SSLでは不十分、クラウド時代の暗号化 』(ITpro),
重要度の高いデータを扱う企業では、一般的なSSLやVPNだけでは不十分とする論調が米国のセキュリティ専門家の間で高まっている。2009年2月に発生した「ハートランド・ペイメント・システム事件」がきっかけだ(図1)。
(snip)
後の調査で判明したところによると、漏えいは2008年頃から継続して発生していた。データをキャプチャして特定の送信先に転送するマルウエアが、Webサーバーに仕掛けられていたのだ。
SSLによる暗号化は、Webサーバーまではデータを暗号化する。しかし、Webサーバーは届いたデータをサーバー内でいったん復号する。サイバー犯罪者はそこに目を付け、Webサーバーにマルウエアを仕込んだ。