PayPalをかたるフィッシングサイトに大量の証明書が発行される

ニュースソース:hashedout

以下は 2017年3月20日に公開されたPayPal Phishing Certificates Far More Prevalent Than Previously Thoughtを要約したものです。


「PayPal」という用語を含む証明書はフィッシング詐欺に使用される可能性が高いため、hashedoutはLet’s Encrypt側に発行停止を申し入れました。
Let’s Encryptが発行した「PayPal」という用語を含む約1,000件の証明書の99%以上がフィッシングサイトに用いられていました。
しかし調査を進めた結果、実際に発行された証明書は15,270件にものぼることが明らかになりました。

無料のSSL証明書であるLet’s Encryptは、攻撃側にも有用なツールとなり得ることが以前から不安視されていました。またLet’s Encrypt側は、認証局として悪意のあるサイトでの証明書の使用を阻止することは不可能だとして対策がとられることはなく、攻撃者にとって十分な環境が整備された形となりました。

証明書検索エンジンcrt.shから得た新たなデータによると、Let’s Encryptは2016年1月1日から2017年3月6日までに「PayPal」の文字列を含むホスト名 15,270件にSSL証明書を発行したことが判明しました。
これは推定の10倍を超えており、1日あたりおよそ100件を発行する計算となります。

Let’s Encryptの「PayPal」の文字列を含む証明書発行推移

発行 年/月 発行枚数
2016/3 10
2016/4 57
2016/5 73
2016/6 65
2016/7 149
2016/8 231
2016/8 299
2016/10 536
2016/11 1276
2016/12 2530
2017/1 3995
2017/2 5101

この新たなデータを分析した結果、証明書15,270件のうちの96.7%(14,766件)がフィッシング詐欺に使用されていたと推定されます。つまり、Let’s Encryptによって発行された証明書の大多数がフィッシングサイトを目的としたもので、正当なサイトが占めるのはほんの一握りであるといえます。

悪意のあるサイトにもHTTPSの普及が進み、ユーザーは推奨されてきたHTTPSや緑色の鍵マークやChromeの「保護された通信」ラベルではサイトが本物かどうか見極めるのが難しくなっています。

現在の傾向が続けば、Let’s Encryptは今年末までにさらに2万件のPayPal関連証明書を発行すると思われます。
我々はこのような現状について公表することにより、悪意のあるサイトでのSSLの使用がどれほど普及しているかを示し、セキュリティ関係者やインターネットユーザー全ての認識を向上させたいと願っています。