国内ユーザーを狙う不正広告でDV証明書が悪用される - トレンドマイクロ

トレンドマイクロは1月13日、Webサイトに発行されるSSL証明書の1つであるDV(ドメイン認証)証明書を悪用する不正広告があることを、セキュリティブログで明かした。

この攻撃は、国内ユーザーを「Angler Exploit Kit(Angler EK)」が埋め込まれたWebサイトに誘導し、最終的にオンライン銀行詐欺ツールをPC上にダウンロードさせるというもの。2015年にも国内ユーザーを狙った同様の攻撃が見つかっている。

具体的な攻撃手法は、「Domain shadowing(ドメイン・シャドウイング)」であることがわかっている。この手法により、攻撃者は正規のドメインの配下にサブドメインを作成し、サブドメインから攻撃者の制御下にあるサーバにユーザーを誘導する。

サブドメインへのトラフィックは、Let’s EncryptのSSL証明書を取得していた。トレンドマイクロでは、Let’s Encryptプロジェクトの証明書が悪用されることを想定しており、監視を続けていたという。また同社は、2015年9月の攻撃で確認したセキュリティ対策製品を回避するコードと類似したコードも発見している。

サーバ証明書の認証局としてSSLシステムの信頼性が悪用される可能性があることは以前より問題となっており、トレンドマイクロは「攻撃者が正規ドメインの配下にサブドメインを作成できることを示した今回の事例では、こうした問題が浮き彫りになった」