トレンドマイクロは1月13日、Webサイトに発行されるSSL証明書の1つであるDV(ドメイン認証)証明書を悪用する不正広告があることを、セキュリティブログで明かした。
この攻撃は、国内ユーザーを「Angler Exploit Kit(Angler EK)」が埋め込まれたWebサイトに誘導し、最終的にオンライン銀行詐欺ツールをPC上にダウンロードさせるというもの。2015年にも国内ユーザーを狙った同様の攻撃が見つかっている。
具体的な攻撃手法は、「Domain shadowing(ドメイン・シャドウイング)」であることがわかっている。この手法により、攻撃者は正規のドメインの配下にサブドメインを作成し、サブドメインから攻撃者の制御下にあるサーバにユーザーを誘導する。
サブドメインへのトラフィックは、Let's EncryptのSSL証明書を取得していた。トレンドマイクロでは、Let's Encryptプロジェクトの証明書が悪用されることを想定しており、監視を続けていたという。また同社は、2015年9月の攻撃で確認したセキュリティ対策製品を回避するコードと類似したコードも発見している。
サーバ証明書の認証局としてSSLシステムの信頼性が悪用される可能性があることは以前より問題となっており、トレンドマイクロは「攻撃者が正規ドメインの配下にサブドメインを作成できることを示した今回の事例では、こうした問題が浮き彫りになった」とコメントしている。
不正攻撃を防ぐためには、Webサイトの管理者はコントロールパネルが正しく保護されているか、管理外のサブドメインが勝手に作成されていないか、定期的に確認する必要がある。ユーザーは、証明書で保護されたWebサイトであっても、必ずしも安全ではないことを認識し、よく注意してWebページを閲覧しなければならない。
なお、トレンドマイクロは今回悪用された証明書についての調査内容をLet's Encryptに報告している。