日本ユーザー対象の不正広告攻撃にLet's Encryptが悪用される:Webサイト運営者も注意を
全てのWebをセキュアにする目的で活動するLet's Encryptの証明書が悪用された。主に日本のユーザーを対象とした攻撃に利用されたことが分かっているという。
米トレンドマイクロは1月6日(米国時間)、「Let's Encrypt」の証明書が不正広告攻撃に悪用されたことを確認したと発表した。
この攻撃の主な対象は日本のユーザーで、不正広告で「Angler Exploit Kit」をホスティングするWebサイトに誘導し、トロイの木馬であるネットバンキングアプリをダウンロードさせるというものだ。トレンドマイクロが2015年12月21日に検知した不正広告サーバには、ピーク時(12月25日)で50万件近いアクセスがあったという。同社はLet's Encryptにこの件を報告済みだ。
攻撃者は適正なドメインの下に「domain shadowing」と呼ばれる手法で攻撃者が制御するサブドメインを作成し、このサブドメインとの通信をLet's Encryptの証明書で暗号化していたという。
Let's Encryptはサーバ証明書を無料で発行する目的で、モジラやシスコシステムズといった大手IT企業の支援を受けて2014年に創設されたプロジェクト。同組織が発行するのはドメイン証明書のみだが、ドメイン証明書は「ドメイン名を使う申請者の権利だけを確認するもの」であるため、トレンドマイクロは以前から証明書が悪用される可能性に懸念を表明してきたという。
トレンドマイクロは「認証局は不正組織に発行された証明書をキャンセルすべきだ」と主張する。Webサイトオーナーが不正広告攻撃を防ぐためにすべきことは、「Webサイトの安全性を確認し、知らぬ間に新たなサブドメインが追加されていないかどうかを把握すること」だと同社はアドバイスしている。
また、ユーザーに対しては、安全に見えるWebサイトでも安全とは限らないと心掛け、Webブラウザや関連ソフトウェアを常に最新にしておくよう呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ソフトウエアをアップデートしてから読んでほしい「不正広告」の話
トレンドマイクロが2015年11月19日に公開したリポート「2015年第3四半期セキュリティラウンドアップ」の中で指摘した、不正広告(マルバタイジング)の問題。業界団体では対策の必要性を認識しながらも、「未然の防止は困難」であるのも事実だとしています。
Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
セキュリティベンダーの調査結果などから、昨今特に増加している攻撃として注目を集めるようになってきた「Malvertising」。複雑なアドネットワーク経由でWebサイト閲覧者にマルウエアが送り込まれるこの攻撃に対して、各関係者はどのような対策を講じるべきなのか。川口洋氏が独自の調査結果を踏まえながら考察します。
無料でサーバー証明書を発行する「Let's Encrypt」
無料でSSL/TLSサーバー証明書を発行する「Let's Encrypt」がパブリックベータに。証明書の取得や管理を自動化する仕組みも持つ。
不正広告に汚染された正規サイトが攻撃誘導経路に、トレンドマイクロが報告書公開
トレンドマイクロが2015年11月19日に公開した「2015年第3四半期セキュリティラウンドアップ」報告書によると、「正規サイトの改ざん」もしくは「正規サイト上の不正広告」を経由した攻撃が活発化しているという。