2017/03/28
Let’s Encrypt を使ったフィッシング – デイリーセキュリティバイト
Let’s Encrypt は、HTTPS サイトの実行に必要なデジタル証明書を無料で提供してくれる非営利の認証局です。この団体は、安全な Web サイトと HTTPS の推進という崇高な目標を掲げています。
誰もが無料で簡単に HTTPS を利用できるのは良いことであり、Let’s Encrypt のサービスは素晴らしいものだと思います。ただし、Let’s Encrypt のモデルに問題がないわけではありません。無料の HTTPS 証明書を利用できることで、サイバー犯罪者も簡単にトラフィックを保護できるようになるからです。ある研究者が最近、Let’s Encrypt の公開レコードを調べ、犯罪者がこのサービスを悪用して、「PayPal」が名前に含まれるドメイン内の数万の証明書を作成していたことを発見しました。今日のビデオでは、このサービスがどのようにフィッシングに悪用されるかを説明し、我々が実行すべき対策をご紹介します。
(エピソードビデオの長さ: 3:36 )
YouTube へのダイレクトリンク:https://www.youtube.com/watch?v=q-L2qaKwBDU
エピソードの参照情報
- Let’s Encrypt で発行された証明書の悪用に関する最初のブログ記事 – The SSL Store
- 当初より件数が多かったことを伝える続報のブログ記事 –The SSL Store
- Let’s Encrypt 発行の 14000 の SSL 証明書がフィッシングに悪用される – V3.co.uk
カテゴリー:
セキュリティニュース