Let's Encryptの証明書、不正広告攻撃に悪用される

Trend Microによると、昨年12月下旬に急増した不正広告(malvertising)攻撃で、マルウェアをホストするサーバーへの通信を暗号化するためにLet's Encryptの発行したサーバー証明書が使われていることが確認されたそうだ。Let's Encryptは無料でDV証明書を発行するサービスで、12月3日にパブリックベータへ移行している(TrendLabs Security Intelligence Blogの記事、The Registerの記事、InfoWorldの記事)。

攻撃は不正な広告を用いてAngler Exploit Kitをホストするサイトに誘導し、ネットバンキングをターゲットにしたトロイの木馬をインストールさせるというもの。主に日本のユーザーが攻撃の対象となっており、Trend Microでは昨年9月に確認された不正広告攻撃の続きとみている。

攻撃者はdomain shadowingの手法を用いて正規のドメインにサブドメインを作成し、自分の制御下にあるサーバーに割り当てる。このサブドメインとの通信がLet's Encryptが発行したサーバー証明書で暗号化されていたとのこと。

DV証明書では申請するドメインが申請者の制御下にあるかどうかだけを確認するため、暗号化されているサイトが必ずしも安全なサイトとは限らない。Gartnerは2017年までにネットワークを通じた攻撃の半数がSSL/TLSを使用すると予測している。

Let's Encryptは証明書を発行する前にGoogleのSafe Browsing APIを用いてドメインが悪用されていないか確認しているが、発行後の確認は行っていない。Trend Microのブログ記事では発行後にドメインの悪用が確認された場合、認証局が証明書を取り消すべきだと主張する。

一方、Let's Encryptのサービスを提供するInternet Security Research Group(ISRG)のJosh Aas氏は発行後の取り消しについて、効果的でなく現実的でもないとしている。今回の攻撃で使われた証明書を取り消すことはないが、問題のサイトは停止されるだろうとも述べているとのことだ。　スラドのコメントを読む | セキュリティセクション | セキュリティ | 広告 | インターネット | 暗号

　関連ストーリー：
サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行 2015年12月05日
日本をターゲットにした「不正広告」攻撃、約3000のサイトで表示される 2015年10月15日
メールアドレスのみの確認でSSL証明書を発行している認証局における問題 2015年04月02日
無料でSSL証明書を取得できるサービス、来年夏登場予定 2014年11月20日
悪意のある広告は前年度比で200％以上も増加している 2014年05月22日
改ざんした複数のWebサイトを連携させて広告ページにリダイレクトする攻撃が急増 2014年03月22日
トルコの認証局、手違いで中間CA証明書を発行。早速攻撃に使われる 2013年01月09日