Let’s EncryptとComodoによるフィッシングサイトへの証明書発行

2017年4月17日

ニュースソース:NetCraft

以下は 2017年4月12日に公開されたLet’s Encrypt and Comodo issue thousands of certificates for phishingを要約したものです。


現在、一部の認証局(CA)はフィッシングや詐欺に使用されるドメインに対して多くの証明書を発行しています。
その中でも、攻撃者から最も利用されている認証局(CA)が、Let’s EncryptとComodoの2つです。
有効なTLS証明書を利用するフィッシングサイトのうち、96%がこの2つの認証局から証明書発行されていることが2017年四半期時点で判明しています。

Netcraftは、2017年1月1日~3月31日の間に47,500以上のサイトでTLS証明書を利用しているフィッシング攻撃をブロックしています。
そのうちの19,700サイト対してはサブディレクトリではなくサイト全体をブロックし、全体をブロックしたサイトの61%がLet’s Encrypt、36%がComodoを利用していました。
フィッシング詐欺の予防は認証局(CA)の役割ではないと言われてきましたが、考えを変えていかなければフィッシングサイトの証明書の不正利用は減少することはないでしょう。

Firefoxでのページロード全体の55%の通信にHTTPSが使用されています。
現在の市場において、暗号化Webへの移行がとても重要となります。
しかし、怪しいドメイン名に対しても証明書が簡単に発行されてしまうため、攻撃者にとってフィッシングサイトを信頼できるサイトに見せかけるのは難しくありません。

証明書が発行されるドメインの例
login-appleid.com-direct-apple.com
payepal.com-signin-country-localed.access-logons.com

Let’s EncryptとComodoは証明書の自動発行が可能で、費用もかからないことから攻撃者にとって魅力的な認証局(CA)です。
Let’s Encryptのフィッシングとマルウェアへの対策はSafe Browsing APIでのチェックですが、証明書はフィッシングのコンテンツをアップロード、または検知される前に発行されてしまいます。
また、Let’s Encryptにはもう1つの対策として発行許可をドメイン名によってブロックする機能がありますが、Netcraftが発見したフィッシングサイトはすべてドメイン名ブロックとSafe Browsing APIでのチェックを行ったにも関わらず証明書が発行されていることが分かっています。

ユーザーは一般的にアドレスバーの鍵、セキュリティーの表示を確認するように教えられていますが、そこにはTLSを使用するサイトが信頼できるか、正当な組織が運用しているかの情報は含まれていません。
接続が”Security”となっていることと、個人情報をHTTPSサイトへ提供することの安全性との区別は簡単ではありません。
Google ChromeとMozilla Firefoxでは、非TLSサイトでのパスワード入力のフォームに警告を促す表示を追加しました。この警告により、さらに多くの攻撃者がTLSのフィッシングサイトを展開していくと考えられます。

Netcraftではホスト名やドメイン名に対し、別の組織を装って使用しているか自動で判定する“Deceptive Domain Score”というツールがあります。
このツールでは、証明書の発行前に判定をすることができます。