全てのWebをセキュアにする目的で活動するLet's Encryptの証明書が悪用された。主に日本のユーザーを対象とした攻撃に利用されたことが分かっているという。
米トレンドマイクロは1月6日(米国時間)、「Let's Encrypt」の証明書が不正広告攻撃に悪用されたことを確認したと発表した。
この攻撃の主な対象は日本のユーザーで、不正広告で「Angler Exploit Kit」をホスティングするWebサイトに誘導し、トロイの木馬であるネットバンキングアプリをダウンロードさせるというものだ。トレンドマイクロが2015年12月21日に検知した不正広告サーバには、ピーク時(12月25日)で50万件近いアクセスがあったという。同社はLet's Encryptにこの件を報告済みだ。
攻撃者は適正なドメインの下に「domain shadowing」と呼ばれる手法で攻撃者が制御するサブドメインを作成し、このサブドメインとの通信をLet's Encryptの証明書で暗号化していたという。
Let's Encryptはサーバ証明書を無料で発行する目的で、モジラやシスコシステムズといった大手IT企業の支援を受けて2014年に創設されたプロジェクト。同組織が発行するのはドメイン証明書のみだが、ドメイン証明書は「ドメイン名を使う申請者の権利だけを確認するもの」であるため、トレンドマイクロは以前から証明書が悪用される可能性に懸念を表明してきたという。
トレンドマイクロは「認証局は不正組織に発行された証明書をキャンセルすべきだ」と主張する。Webサイトオーナーが不正広告攻撃を防ぐためにすべきことは、「Webサイトの安全性を確認し、知らぬ間に新たなサブドメインが追加されていないかどうかを把握すること」だと同社はアドバイスしている。
また、ユーザーに対しては、安全に見えるWebサイトでも安全とは限らないと心掛け、Webブラウザや関連ソフトウェアを常に最新にしておくよう呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.