正しいURLなのに偽のサイトへアクセスしてしまう事案が発生
ビットコインなどの仮想通貨のオンラインウォレットサービスを提供するTREZORがブログ上で「トラフィックがハイジャックされるケースがある」ことについて報告しました。
[PSA] Phishing Alert: Fake Trezor Wallet website - TREZOR Blog
https://blog.trezor.io/psa-phishing-alert-fake-trezor-wallet-website-3bcfdfc3eced
2018年7月2日、TREZORは自社のウォレットサービスが攻撃されているとブログ上で発表しました。ブログによると、TREZORのサポートチームが顧客から不正なSSL証明書についての問い合わせを受けて事態が発覚したとのこと。TREZORが公開している偽のフィッシングサイトにアクセスした際の画像は以下のもので、URLに表示されているドメインは「wallet.trezor.io」という正しいサイトと同一のものですが、https通信に使用するSSL証明書が不正なものとなっており、ブラウザのアドレスバーに「Not secure」と表示されていることが分かります。
攻撃に使用された方法はまだ分かっていませんが、正しいURLを入力しても偽のサイトへアクセスしてしまったことからDNSキャッシュポイズニングやBGPハイジャックなどの方法が考えられるとのことです。BGPハイジャックはインターネットのトラフィックを乗っ取るのに使用される攻撃で、2017年、2018年には以下のような事件で使用されました。
AmazonのDNSサービス「Route 53」が攻撃され時価1600万円の仮想通貨がユーザーから奪われる
ロシア政府の管理下にある通信事業者が金融サービスのインターネットトラフィックをハイジャック - GIGAZINE
アクセスしているウェブサイトのURLが正しいかを確認するだけでなく、通信にhttps(SSL)を使用することでアクセスしたサイトが本当にそのURLのサイトであるかを確認することができます。TREZORはtwitterで「必ず正当なhttps通信をしていることを確認するように」とコメントを出しています。
PSA: Phishing. We have encountered a clone of Trezor Wallet, tricking users to divulge their recovery seed. Always check for a valid https connection while using https://t.co/rTfKn8bzIL.
— TREZOR (@TREZOR)
The device itself can be trusted; make sure to verify all actions on the Trezor screen. pic.twitter.com/or8Lw6M265
なお、偽サイトにhttpsで接続した場合は証明書エラーが出ますがhttp接続の場合は自分が偽サイトに接続してしまっていることに気づくことができません。GoogleはChromeブラウザではhttpで接続する場合は「安全でない」という表示が出るようにするという方針を発表しています。
GoogleはHTTPSで保護されていないサイトを「安全でない」とChromeブラウザにハッキリと表示する方針 - GIGAZINE
・関連記事
人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ - GIGAZINE
iOSの偽ダイアログを出してパスワードを盗み取るフィッシングが存在、騙されないための対策はコレ - GIGAZINE
高校生が偽サイトを作り先生のパスワードを盗んで学校のシステムに侵入し生徒の成績を書き換えて逮捕される - GIGAZINE
2万3000件以上のSSL/TLS証明書の秘密鍵が電子メールでやりとりされたことが判明し、その全てが失効となる事態に - GIGAZINE
サイトの「HTTPS化」が世界的に進んで大きなターニングポイントを迎える - GIGAZINE
・関連コンテンツ
