“本物”のSSL証明書を持つ偽サイトの例(<a href="http://www.websensesecuritylabs.com/blog/" target=_blank>Websenseの情報</a>より)
[画像のクリックで拡大表示]
米SANS Instituteや米Websenseは現地時間2月13日,実在するサイトに思わせるようなドメイン名を持ち,なおかつ,そのドメイン名に対して発行されたSSL用サーバー証明書(デジタル証明書)を持つ偽サイトが確認されたとして注意を呼びかけた(関連記事)。
確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。しかも偽サイトは,同サイトが「www.mountain-america.net」であることを証明するためのSSL証明書を取得していた。この証明書はCA(認証局)ベンダーが発行したものなので,ブラウザは警告を出すことなく,SSL通信であることを示す錠マークを表示する。
Websenseでは,「ブラウザの右下に表示される錠マークだけでは,そのサイトが“本物”かどうかは判断できなくなっている」と注意を呼びかけている。また,SANS Instituteでは,そのようなサイトへ証明書を発行するベンダーが問題であるとしている。併せて,銀行やクレジット会社などでは,クリッカブルなリンクを記述したメールは送らないようにすべきとしている。正規の企業がそのようなメールを送ることは,フィッシング詐欺に遭う“土壌”を作ることになるからだ(関連記事)。
◎参考資料
◆Phollow the Phlopping Phish
◆More Phishing with SSL.
