正しいURLなのに偽のサイトへアクセスしてしまう事案が発生

ビットコインなどの仮想通貨のオンラインウォレットサービスを提供するTREZORがブログ上で「トラフィックがハイジャックされるケースがある」ことについて報告しました。

[PSA] Phishing Alert: Fake Trezor Wallet website - TREZOR Blog
https://blog.trezor.io/psa-phishing-alert-fake-trezor-wallet-website-3bcfdfc3eced

2018年7月2日、TREZORは自社のウォレットサービスが攻撃されているとブログ上で発表しました。ブログによると、TREZORのサポートチームが顧客から不正なSSL証明書についての問い合わせを受けて事態が発覚したとのこと。TREZORが公開している偽のフィッシングサイトにアクセスした際の画像は以下のもので、URLに表示されているドメインは「wallet.trezor.io」という正しいサイトと同一のものですが、https通信に使用するSSL証明書が不正なものとなっており、ブラウザのアドレスバーに「Not secure」と表示されていることが分かります。

攻撃に使用された方法はまだ分かっていませんが、正しいURLを入力しても偽のサイトへアクセスしてしまったことからDNSキャッシュポイズニングやBGPハイジャックなどの方法が考えられるとのことです。BGPハイジャックはインターネットのトラフィックを乗っ取るのに使用される攻撃で、2017年、2018年には以下のような事件で使用されました。

AmazonのDNSサービス「Route 53」が攻撃され時価1600万円の仮想通貨がユーザーから奪われる

ロシア政府の管理下にある通信事業者が金融サービスのインターネットトラフィックをハイジャック - GIGAZINE

アクセスしているウェブサイトのURLが正しいかを確認するだけでなく、通信にhttps(SSL)を使用することでアクセスしたサイトが本当にそのURLのサイトであるかを確認することができます。TREZORはtwitterで「必ず正当なhttps通信をしていることを確認するように」とコメントを出しています。

なお、偽サイトにhttpsで接続した場合は証明書エラーが出ますがhttp接続の場合は自分が偽サイトに接続してしまっていることに気づくことができません。GoogleはChromeブラウザではhttpで接続する場合は「安全でない」という表示が出るようにするという方針を発表しています。

GoogleはHTTPSで保護されていないサイトを「安全でない」とChromeブラウザにハッキリと表示する方針 - GIGAZINE