フィッシング詐欺で HTTPS が利用されるケースが広がっています。アドレスバーの南京錠のアイコンの意味をもう一度ご確認ください。

2017.12.20

サイバー攻撃でも HTTPS が悪用されるケースが最近増加しています。


Google 社は長年 HTTPS の利用を推奨しており、この 10 月に Chrome ブラウザのアドレスバーでデフォルトで HTTPS を使用していない多くのサイトに「保護されていません」という警告ラベルを表示するようになりました。これは、さらに多くの Web サイトのオーナーに HTTPS の利用を促す措置です。


一方、Facebook、Twitter、WordPress は長年熱心にこの問題に取り組んでおり、2017 年前半に米電子フロンティア財団 (EFF) が公表したデータ(リンク先:英語)では、全 Web トラフィックのうちの半分が HTTPS で保護されていると見積もられています。


そのため、HTTPS を利用する Web サイトでも、フィッシングの対象としての魅力が高まっています。


PhishLabs(リンク先:英語) によると、全フィッシングサイトの 25% が現在 HTTPS を使用しており、1年間と比較してこれは数パーセント上昇しています。


2017 年には劇的な上昇があり、わずか 3 カ月で HTTPS を使用するフィッシングサイト数が倍増しました。この急増の理由は何だったのでしょうか。


次のような説明があります。


(引用文日本語訳) 多くの Web サイトが SSL 証明書を取得するようになり、そのセキュリティが侵害される恐れのある HTTPS Web サイトの数も増加しています。


これは論理的な説明です。HTTPS を使用するサイトの数が増加しており、セキュリティが侵害されフィッシング攻撃をホスティングするようになり、HTTPS を有効にしている正規のサイトが増加する恐れもあります。


つまり、これは、HTTPS 証明書を取得するときに、サイトの他の脆弱性を同時に解消しない限り、HTTP から HTTPS へのアップグレードが徒労に終わることを示しています。


しかし、他にも興味深い説があります。


(引用文日本語訳) 第 3 四半期には PayPal および Apple が主に攻撃されましたが、これらの企業への HTTPS フィッシング攻撃に関する分析では、これらの攻撃で使用された HTTPS フィッシングサイトの約 75% が、不正に登録された悪意のあるドメインでホスティングされていました。


ソフォスでは、この攻撃を「ショーウインドーの飾り付け理論」と呼んでいます。サイバー犯罪者は、HTTPS がなくても詐欺を働くことができるものの、HTTPS の表示があれば確実に保護されているとユーザーが間違った認識をすることを期待しています。


これらの証明書は、Let’s Encrypt(リンク先:英語) などのサービスから無料で入手することができることから、正規の Web 作成者の間で、HTTPS の利用が広がり、その結果として、予期しない負の影響が生じています。


この問題の本質は、HTTPS でも Let’s Encrypt でもなく、緑色の南京錠のアイコンにあります。このアイコンによる誤解こそが問題です。


あまりにも多くのユーザーが、このアイコンがあると正規のサイトにアクセスしていることを保証されると盲目的に信じていますが、もちろんそんなことはありません。安全である場合もありますが、HTTPS と南京錠のアイコンの目的については混乱があるようです。


Google などの業界の失敗が、この原因の一部となっています。Chrome で HTTPS サイトにアクセスすると、ブラウザは南京錠のアイコンが付いたサイトを「安全(保護されている)」と表示しますが、これは単に接続が暗号化されて保護されていることを示しており、サイトが安全であることを示しているわけではありません。


このことを知らないユーザーも存在します。


ブラウザでは、サイトの信頼性を示すカラーコードシステムも使用されますが (Extended Validation 証明書があるサイトには、緑色の南京錠が表示されます)、フィルター機能で検出されなかったフィッシングサイトでも南京錠のアイコンが表示されます。


Naked Security では、2015 年にこの問題についてすでに説明しており、(リンク先:英語)サイトの検証方法に問題があることを伝えてきました。


PhishLabs が検出した傾向についての論理的帰結は、フィッシングサイトであろうとなかろうと HTTPS を使用する Web サイトが総合的に増加しているということです。これにより、南京錠のアイコンのシステムが誤解されている問題が浮き彫りになっているのです。


インターネット全体を暗号化するという壮大な試みは高貴な理想ですが、サイバー犯罪者が内部から悪用できる方法を見つけることができれば、その普遍性により甚大な被害が生じることになります。


引用元

おすすめの記事はこちら