EV SSL証明書を利用したフィッシング実験

以下は、2017年9月13日にJames Burton氏によって公開されたFirst part of phishing with EVの一部分を要約したものです。

実験では、「Symantec 30 days free trial」でEV SSL証明書取得に成功していますが、ComodoでのEV SSL証明書取得は失敗しています。

EV SSL証明書はフィッシングを防ぐ効果的な方法として設計されましたが、この実験ではEV SSL証明書でフィッシングすることが実際に可能であること、証明書を取得するのが簡単であることを実証するつもりです。
運営者名としてURLバーに表示される組織名は、フィッシングサイトが安全であるという錯覚をユーザに与えてくれる「Identity Verified」としました。

  • Identity Verifiedの法人登記は、英国でネットで探した代行業者を使って、£40(日本円約6,000円・2017-09-20現在)の費用で翌日に完了しました。実験では登記は私のIDを使って行いましたが、IDの検証は求められなかったので、犯罪者はダークネットで取得した他人のIDを使って行っていると思われます。
  • EV SSL証明書の取得には電話番号が公開電話帳に載っていることが求められるので、Dun and Bradstreetに私のモバイルの番号を登録しました。登録に必要だったのは私のDun and BradstreetのIDだけでした。登録は数日後に完了しました。
  • EV SSL Certificate 30 days free trialのサイトで申し込みを行いました。数日後、EV SSL証明書が発行されました。
  • Comodoへも、EV SSL証明書の申請を行いましたが、発効要件不備で発行されませんでした。