インターネットサービス企業のNetcraftは2018年1月29日(米国時間)、「The hidden “well-known” phishing sites|Netcraft」において、フィッシング詐欺サイトの多くが「.well-known」と呼ばれるディレクトリ以下にホストされていると伝えた。ここ1カ月だけでも、新たに400のフィッシング詐欺サイトが「.well-known」以下にホストされたと指摘している。

「.well-known」ディレクトリは攻撃者が新たに作成したディレクトリではなく、攻撃を受けたWebサーバがもともと持っていたものである可能性があるという。/.well-known/は「well-known locations」と呼ばれ、「RFC5785 - Defining Well-Known Uniform Resource Identifiers (URIs)」にも定義が記載されている。いくつかのサービスで既にに使用されているディレクトリであるため、Webサーバ自体に既に存在している可能性が高い。

  • .well-knownディレクトリにホストされているフィッシング詐欺サイトのサンプル - 資料: Netcraft提供

    .well-knownディレクトリにホストされているフィッシング詐欺サイトのサンプル - 資料: Netcraft

  • .well-knownディレクトリにホストされているフィッシング詐欺サイトのサンプル - 資料: Netcraft提供

    .well-knownディレクトリにホストされているフィッシング詐欺サイトのサンプル - 資料: Netcraft

Netcraftは特に認証局「Let's Encrypt」の成功が、「.well-known」ディレクトリの増加に寄与しているだろうと分析している。Let's Encryptでは認証の過程で/.well-known/を利用する。このため、Let's Encryptの証明書を使っているサーバにはすでに「.well-known」ディレクトリが存在していることになり、このディレクトリがフィッシング詐欺サイトのホスティングに悪用されていると説明している。

「.well-known」ディレクトリはlsコマンドをオプション指定なしで使った場合は表示されないため、管理者はこのディレクトリの存在に気がついていない可能性がある。このディレクトリのパーミッションを必要以上に緩く設定していることで、外部からの書き込みを許可してフィッシング詐欺サイトとして悪用されている可能性があるという。

こうしたサーバでは証明書自体は正規のものであるため、証明書が正規に発行されたものであるかどうかを調べるだけでは、フィッシング詐欺サイトであるかどうかを見抜くことが難しい。証明書がどの組織に対して発行されたものであるか調べるとともに、サイトの内容がその組織に属するものであるかをチェックするなどして、ページの正当性を調べる必要がある。