認証局発行の正規のSSL証明書もフィッシング詐欺で悪用のおそれ

ブラウザに表示されているデータはコピーが簡単であることから、見た目で本物と偽物を区別することが難しい。Webサイトがフィッシングサイトかどうかを判断する1つの指針に「使用されているSSL証明書が正規の認証局から発行されたものであるかどうか」といったものがあり、主要ブラウザはSSL証明書やその強度などを簡単にチェックするための機能を提供している。

しかし、正規のSSL証明書が必ずしも安全ということではないようだ。インターネットサービス企業であるNetcraftは10月12日(英国時間)、「Certificate authorities issue SSL certificates to fraudsters｜Netcraft」において、正規の認証局から不正サイトの作成者に対して正規のSSL証明書が発行されている実状を伝えた。1カ月で数百に及ぶSSL証明書が不正利用目的のサイトに対して発行されており、フィッシングサイトの運用に悪用されていると説明されている。

2015年8月時点で、偽のドメイン名を使ったフィッシング詐欺に悪用されたSSL証明書の40%がCloudFlareの提供する無償の「Universal SSL」