![CT log は SSL 証明書の公開台帳](/blog/ct-log-basics-smb/ct-overview.svg) ## この記事でわかること - CT log(Certificate Transparency)が「公開された SSL 証明書の台帳」であること - 中小企業がなぜ CT log を気にすべきか(なりすまし証明書の発見) - 自社ドメインの CT log を無料で確認する方法 - 「身に覚えのない証明書」が見つかったときの対処 ## CT log は SSL 証明書の公開台帳 CT log(Certificate Transparency log、しーてぃーろぐ)は、世界中で発行された SSL 証明書を全件記録し、誰でも検索できるようにした公開台帳の仕組みです。Google が中心となって 2013 年から運用が始まり、現在は主要ブラウザが「CT log に記録されていない証明書は信頼しない」という運用になっています。 つまり、認証局が SSL 証明書を発行すると、ほぼ即座にその記録が公開ログに刻まれ、誰でも次の情報を確認できます。 - いつ、どの認証局が証明書を発行したか - どのドメインに対して発行されたか - 証明書の有効期限 裏を返せば、第三者があなたの会社のドメインで証明書を取得しようとしたら、それが世界中の誰の目にも見える形で記録に残ります。 ## なぜ中小企業が CT log を気にすべきか 「公開台帳って、サイト運営側にメリットあるの?」と思われがちですが、中小企業にとっての価値は明確です。 ### 価値 1: なりすまし証明書の早期発見 攻撃者が「あなたの会社っぽい偽ドメイン」を取得して証明書を発行したとき、CT log を監視していれば即座に気づけます。 例: 自社が `example.co.jp` を使っているとき、攻撃者が `example-co-jp.com` や `examp1e.co.jp` で証明書を取得したら CT log に記録されます。これを定期的に検索することで、フィッシングサイトの準備段階を捕捉できます。 ### 価値 2: 退職者・元委託先による証明書発行の検知 社内の認証局アカウントを退職者が触ったり、過去の Web 制作会社が証明書を取得し続けているケースを発見できます。 ### 価値 3: シャドー IT の発見 社内の別部署が情シスを通さずにサブドメインを立てて証明書を取っているケース。CT log を見ると、想定外のサブドメインが一覧化されます。 ## CT log を確認する無料ツール ![CT log 確認の流れ](/blog/ct-log-basics-smb/check-flow.svg) CT log は誰でも検索できる公開リソースで、複数の検索インターフェースが無料で使えます。 ### crt.sh `crt.sh` で `example.co.jp` を検索すると、過去に発行されたすべての証明書が一覧表示されます。発行日 / 認証局 / カバーしているホスト名が確認できます。 ### Censys Censys は CT log だけでなく Web サーバーのスキャン情報と組み合わせた検索が可能です。フリープランで基本機能が使えます。 ### Google Search Console / 監視サービス 主要な監視 SaaS(Sectigo / DigiCert 等)には CT log を自動監視するアラート機能があります。中小企業向けの無料プランもあります。 ## 「身に覚えのない証明書」を見つけたときの対処 CT log で自社ドメインを検索して、心当たりのない証明書を発見した場合の対応手順です。 ### 手順 1: 社内確認 別部署、Web 制作会社、過去の担当者などが正規に取得した証明書ではないかを確認します。シャドー IT の場合も多く、まず内部で照会します。 ### 手順 2: ホスト名と CN を精査 証明書がカバーしているホスト名(CN / SAN)が、自社の正規サブドメインか、見せかけのよく似たドメイン(typosquatting)かを確認します。typosquatting の手口は[typosquatting とは|中小企業のブランド保護](/blog/brand-protection-basics)を参照。 ### 手順 3: 認証局に失効申請 不正に発行された証明書と判断したら、発行元の認証局に失効を申請します。ドメイン所有者であることを証明できれば失効可能です。 ### 手順 4: 警察 / JPCERT への連絡 フィッシングサイト準備の証拠が出てきた場合、警察庁のサイバー犯罪窓口や JPCERT/CC への連絡を検討します。 ## CT log の限界 CT log は強力なツールですが、限界もあります。 - 発行された証明書しか見えない(DNS 設定や実際の Web サイトの稼働は別物) - ドメインの登録者情報は含まれない(WHOIS と組み合わせて見る) - 過去 1 年以内のフィルタが基本(古い証明書は別系統で検索) ブランド全体のなりすまし対策は[なりすましメール対策の基本](/blog/email-spoofing-prevention)や[ブランド保護方法 7 選](/blog/brand-protection-methods-7)も参考になります。 ## まとめ - CT log は「世界中で発行された SSL 証明書の公開台帳」 - 中小企業はなりすまし証明書の早期発見 / 退職者検知 / シャドー IT 発見に活用できる - 無料の crt.sh / Censys / 監視 SaaS で自社ドメインを検索可能 - 心当たりのない証明書を見つけたら 社内確認 → 認証局失効 → 関係機関連絡 の手順で対処 ## まずは現状を把握しましょう 自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の[SSL 単発チェック](/ssl/check)で確認できます。メール認証も含めた総合点検は[無料診断](/diagnose)をご利用ください。 関連記事: [CertSpotter の使い方](/blog/certspotter-tsukaikata) / [certspotter vs crt.sh 比較](/blog/certspotter-vs-crt-sh-comparison) / [CT log 監視ツール 5 選比較](/blog/ct-log-monitoring-tools-guide)