米SANSと米Websenseは現地時間13日、実在する金融機関とよく似たドメイン名を取得し、そのドメイン名に対して正規に発行されたサーバー証明書をもったフィッシングサイトが出現したと発表した。
このフィッシングサイトは「Mountain America Federal Credit Union」のサイトを装ったもので、同社の実際のサイトに酷似。ドメイン名も、同社の正しいドメイン名を知らないユーザーなら信用してしまうような、いかにも紛らわしいもので、正規のサーバー証明書も取得していた。Websenseは、「錠マークだけでは、そのサイトが正規のものであるかどうか判断できなくなっている」と注意を呼びかけている。
【解説:サーバー証明書】
サーバー証明書には、公的な書類の提出と審査を経て「実在の企業である」ことも含めて証明するタイプばかりではなく、アドレスに該当するサーバーがインターネット上に存在することのみチェックするタイプもある。後者のタイプの証明書だと、公的な書類を提出しなくても、オンラインの手続きだけで安価に入手できる。
サーバー証明書に問題がある場合は、暗号化通信が始まるときに警告画面が表示されるので、偽サイトを見分ける助けとなる。ところが今回出現したフィッシングサイトは、正規の証明書をもっているため、この警告が出ない。また、暗号化通信が行われていることを示す「錠マーク」も表示されてしまう。フィッシング詐欺にあわないためには、「錠マーク」と「正しいURLかどうか」、この両方を確認することが必要だ。
(2006/02/16 ネットセキュリティニュース)
■ Phollow the Phlopping Phish(SANS Institute)
http://isc.sans.org/diary.php?storyid=1118
■ More Phishing with SSL.(Websense)
http://www.websensesecuritylabs.com/blog/