Let's Encryptの証明書、不正広告攻撃に悪用される
タレコミ by headless
headless 曰く、
Trend Microによると、12月下旬に急増した不正広告(malvertising)攻撃で、マルウェアをホストするサーバーへの通信を暗号化するためにLet's Encryptの発行したサーバー証明書が使われていることが確認されたそうだ。Let's Encryptは無料でDV証明書を発行するサービスで、12月3日にパブリックベータへ移行している(TrendLabs Security Intelligence Blogの記事、 The Registerの記事、 InfoWorldの記事)。
攻撃は不正な広告を用いてAngler Exploit Kitをホストするサイトに誘導し、ネットバンキングをターゲットにしたトロイの木馬をインストールさせるというもの。主に日本のユーザーが攻撃の対象となっており、Trend Microでは昨年9月に確認された不正広告攻撃の続きとみている。
攻撃者はdomain shadowingの手法を用いて正規のドメインにサブドメインを作成し、自分の制御下にあるサーバーに割り当てる。このサブドメインとの通信がLet's Encryptが発行したサーバー証明書で暗号化されていたとのこと。
DV証明書では申請するドメインが申請者の制御下にあるかどうかだけを確認するため、暗号化されているサイトが必ずしも安全なサイトとは限らない。Gartnerは2017年までにネットワークを通じた攻撃の半数がSSL/TLSを使用すると予測している。
Let's Encryptは証明書を発行する前にGoogleのSafe Browsing APIを用いてドメインが悪用されていないか確認しているが、発行後の確認は行っていない。Trend Microのブログ記事では発行後にドメインの悪用が確認された場合、認証局が証明書を取り消すべきだと主張する。
一方、Let's Encryptのサービスを提供するInternet Security Research Group(ISRG)のJosh Aas氏は発行後の取り消しについて、効果的でなく現実的でもないとしている。今回の攻撃で使われた証明書を取り消すことはないが、問題のサイトは停止されるだろうとも述べているとのことだ。
Let's Encryptの証明書、不正広告攻撃に悪用される More ログイン