HTTPS対応フィッシングサイトが急増

2017年5月26日

ニュースソース:NETCRAFT

以下は、2017年5月19日に公開されたPhishing sites react promptly to new browser changesを要約したものです。


NETCRAFTの調査では、皮肉にも、Mozilla FirefoxとGoogle Chromeにパスワード入力ページがHTTPS未対応の場合警告を出すという新たな機能が導入された2017年1月以降、HTTPS対応のフィッシングサイトが急増しています。

この新しい機能は、ログインフォームが暗号化されていない(HTTP)ページにある場合に警告が表示され、中間者攻撃からの保護、また機密データを扱うサイトが安全なHTTPS接続を使用するよう促す目的で導入されました。
フィッシングサイトのほとんどがHTTPプロトコルを使用していたため、ブラウザでその危険性が警告されることで、詐欺サイトの多くは排除され、潜在的な攻撃の可能性は減少しました。

しかし、HTTPSに対応したフィッシングサイトが飛躍的に増加していることから、攻撃者はこのブラウザの変更を認識し、反応したと考えられます。
ブラウザの安全強化を目的とした機能が、図らずもフィッシングサイト側に反応を促し、その有効性を高めている可能性があります。
現在では、HTTPSに対応する有効なサードパーティ証明書を持つフィッシングサイトが確認されており、一見詐欺サイトだとわからないために被害が発生する可能性が高まっています。

そのほかに、フィッシングサイトは正規のサイトの一部で正規運営者に気づかれないように運営されていることが多いため、合法なウェブサイトの多くがFirefoxとChromeの新たな動作に対応してHTTPSに移行したことで、HTTPS対応のフィッシングサイトの数も増加したという要素も考えられます。
現在、HTTPSのサイトをメインターゲットにする攻撃も確認されています。

HTTPS未対応のフィッシングサイトが大多数であるとはいえ、新たなブラウザがリリースされた1月以降、HTTPSに対応したフィッシングサイトの数はわずか数ヶ月で3倍にも増加しています。
また、MicrosoftのInternet ExplorerやEdgeブラウザなど、警告を表示する機能を搭載していないブラウザが存在しているため、HTTPS未対応のフィッシングサイトによる攻撃の可能性は引き続き存在しています。