セキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップする。今回はまず、トレンドマイクロが取り上げている、HTTPSの安全性についての話題を紹介しよう。
米グーグルが、セキュアなHTTPS接続の普及を促すために、HTTPSに対応しているWebサイトを検索ランキングで優遇する方針を先月発表した。サイト運営者は積極的にHTTPS移行を考える可能性がある。しかし、サイバー攻撃者も同様だと、トレンドマイクロはブログで注意を呼びかけている。
HTTPS接続を採用したフィッシングサイトの数は急激に増加しており、今年はホリデーシーズンが残っていることを考えると、倍増することが予測される。
HTTPS接続を採用したフィッシングサイトの数
サイバー犯罪者にとって、HTTPS対応のWebサイトを作成することはたやすく、既存のHTTPS対応サイトを乗っ取ることも、HTTPSを採用している正規のホスティングサイトのサービスを利用することも簡単だ。つまり、サイバー犯罪者は自身のSSL証明書がなくても、証明書を持っているサーバーを乗っ取ってしまえばいい。
HTTPSを利用する手口は、モバイルフィッシングでも確認されている。トレンドマイクロは最近、HTTPS接続と公式証明書を使っている、米ペイパルを装ったフィッシングページを見つけた。正規のサイトでホスティングされているらしいことから、乗っ取られたと考えられる。
特定のサイトがフィッシングサイトであるかどうか判断するには、証明書のコモンネームを確認するといい。コモンネームは通常、ドメイン名と一致している。ペイパルの正規モバイルサイトの証明書はコモンネームが「mobile.paypal.com」、組織名(運営者)は「PayPal」と記されているが、偽装サイトの証明書はそのようには表記されていない。