2017/03/28

Let’s Encrypt を使ったフィッシング – デイリーセキュリティバイト

鍵 キー アンロック 侵入 漏洩 データ 流出 サイバー攻撃
2017 年 3 月 28 日 Corey Nachreiner 著

Let’s Encrypt は、HTTPS サイトの実行に必要なデジタル証明書を無料で提供してくれる非営利の認証局です。この団体は、安全な Web サイトと HTTPS の推進という崇高な目標を掲げています。

誰もが無料で簡単に HTTPS を利用できるのは良いことであり、Let’s Encrypt のサービスは素晴らしいものだと思います。ただし、Let’s Encrypt のモデルに問題がないわけではありません。無料の HTTPS 証明書を利用できることで、サイバー犯罪者も簡単にトラフィックを保護できるようになるからです。ある研究者が最近、Let’s Encrypt の公開レコードを調べ、犯罪者がこのサービスを悪用して、「PayPal」が名前に含まれるドメイン内の数万の証明書を作成していたことを発見しました。今日のビデオでは、このサービスがどのようにフィッシングに悪用されるかを説明し、我々が実行すべき対策をご紹介します。

(エピソードビデオの長さ: 3:36 )

YouTube へのダイレクトリンク:https://www.youtube.com/watch?v=q-L2qaKwBDU

エピソードの参照情報

Corey Nachreiner, CISSP@SecAdept