更新:避けられない事態でした。トレンドマイクロは、無料のLet's Encrypt証明書システムを悪用してマルウェアをコンピュータに持ち込む犯罪者を発見したと発表しました。
セキュリティ業界の詐欺師ジョセフ・チェン氏は12月21日にこの事件に気付きました。日本のユーザーが、Let's Encrypt発行の証明書を使って暗号化されたHTTPS経由でマルウェアを配信するウェブサイトにアクセスしたのです。このサイトはAnglerエクスプロイトキットを使って、ユーザーのマシンにマルウェアを感染させ、オンライン銀行口座を乗っ取るよう設計されていました。
暗号化を使用すると、送信中のマルウェアはネットワーク セキュリティ スキャナーから保護され、証明書によって悪意のあるサイトの正当性が証明されます。
攻撃者は、Let's Encrypt 証明書をインストールする前に、名前のない Web サーバーを侵害し、サーバーの Web サイト用に独自のサブドメインを作成し、そのサブドメイン用の無料の HTTPS 証明書を取得しました。
トレンドマイクロが発見したLet's Encryptの証明書
チェン氏は本日、犯罪者は侵入先のサーバーに証明書をインストールし、そのサブドメインから不正な広告をホストしたと説明した。この広告にはウイルス対策コードも含まれていた。
チェン氏は、Let's Encryptのポリシーが「コンテンツフィルターではない」と批判し、このような攻撃を阻止するには認証局の役割があり、GoogleのセーフブラウジングAPIで証明書を検証するだけでは不十分だと述べています。ドメインとそのサブドメインに対する不正な証明書登録を防ぐためのメカニズムを導入すべきだとチェン氏は考えています。
Let's Encrypt のインターネット セキュリティ リサーチ グループのエグゼクティブ ディレクターである Josh Aas 氏は、The Registerに対し、2015 年 10 月のブログ投稿で明確に述べられている同組織のポリシーは今も有効であると語った。
「証明書エコシステムは、ウェブ上のフィッシングやマルウェアを取り締まるための適切なメカニズムではないと考えています。セーフブラウジング、スマートスクリーン、あるいは今回の広告ネットワークの内部統制といった他のメカニズムの方が、より効果的かつ適切です」と、同氏はThe Registerへのメールで述べた。
証明書を発行する前に、GoogleセーフブラウジングAPIでフィッシングステータスを確認していますが、その後は措置を講じていません。これは現実的ではなく、効果もないでしょう。問題の証明書を取り消すことはありませんが、問題のサイトは削除されたようです。
本質的には、Let's Encrypt に頼ってショップを管理するのではなく、独自のサーバーを保護するということです。®
