無料SSLを悪用する詐欺サイトをブロックするAdblockのフィルタ

クレジットカード会社やネットバンキングなどの金融機関などを装ったメールを送りつけて用意した偽のページに誘導し、各種ウェブサービスのアカウントのパスワードやクレジットカード番号、氏名、住所、電話番号などの個人情報を入力させて情報を盗み出す「フィッシングサイト」を見分け方の一つとして、暗号化された通信かどうかの確認にウェブブラウザのアドレスバーのURLが「https://~」で始まっているかどうかを見るという方法があります。
しかし、この考え方はもはや過去のものとなりました。詐欺師の側も自分たちが用意するサイトにSSLを導入するようになり、今日では「https://〜」で始まる詐欺サイトが大幅に増加しています。
その理由の一つに、「Let’s Encrypt」や「Cloudflare(証明書はComodo提供)」などの無料でSSL証明書を発行するサービスが登場し、詐欺師らはこれに目をつけました。そして、圧倒的に低コストかつ簡単にで自分たちのサイトが安全であるという証明ができるようになったのです。
今回は、これらの無料のサービスの認証局より発行されたSSL証明書を悪用しているフィッシングサイトをブロックするAdblock用のフィルタを作りました。

「Let’s Encrypt」については以下の参照ください。

Let’s Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・更新のプロセスを自動化することにより、TLS や HTTPS(TLSプロトコルによって提供されるセキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクトです。
https://letsencrypt.jp/

フィッシング詐欺を行う詐欺師にとって、これまで自分が所有するウェブサイトにSSLを導入することは、導入までに複雑な手続きを経て、また、ドメインごとにSSL証明書を購入しなければならず、ページの安全性を証明としては最適なアイテムであるものの、低コストで単純な作業を目標とする詐欺師にはハードルとなっていました。
しかし「Let’s Encrypt」や「Cloudflare(証明書はComodo提供)」の登場によって、こうした問題は意味で解消されました。Let’s Encryptは審査もなくすべてのウェブサイトの所有者に無料で証明書を発行し、手続きもほぼ自動で行うことができます。そして悪いことに詐欺にも悪用されるようになりました。

Let’s EncryptとComodoのTLS証明書、96%の詐欺サイトで使用
http://news.mynavi.jp/news/2017/04/14/103/

記事によると、2017年第1四半期において、なんと約96%ものフィッシングサイトは2つの認証局によって発行されたSSL証明書を利用しており、そのうち61%がLet’s Encrypt、36%はComodoが発行したものだそうです。記事には書かれていませんが、Comodoが発行した証明書はおそらくCloudflare提供の共用の無料SSLだと思います。

Comodoは、「crt.sh」という発行済みのすべてのSSL証明書を検索することができるサイトを運営しています。このサイトで、Let’s Encryptから発行された証明書であり、ドメインに「paypal」を含むものを探してみましょう。

https://crt.sh/?Identity=paypal%25&iCAID=16418&exclude=expired

重複したものを除いてもなんと7542件もヒットしました(記事執筆時)。ドメインに「paypal」を含んでいるだけでは疑わしいサイトか判断できませんが、ほとんどがフィッシングサイトであり、そのうちの一つにアクセスしてみたところ以下のようなページが表示されました。
PayPalのフィッシングサイト

これを、Adblockのフィルタとして使うことができるリストにしました。PayPalの他にもAppleのフィッシングが今アツいのでそのリストも作ることにしました。

paypal.com
https://cheena.net/adblock/letsencrypt-paypal.txt

apple.com
https://cheena.net/adblock/letsencrypt-apple.txt

毎日自動的にリストを更新しています。Cloudflareの無料SSLについては、crt.shで検索することが難しいので省きました。とばっちりでいくつかの正規サイトも含まれていますが、もしアクセスしてブロックされてしまった場合はドメインをホワイトリストに追加するなどして対応してください。

uBlockで使う場合は、設定から「外部フィルター」で以下のようにカスタムフィルタを追加します。Adblock Plus/Edgeでも同じようにしてできると思います。(04/19: Adblock Plus/Edgeに対応しました
uBlockの設定

以上です。何かあればコメントでお願いします。

更新(8月4日):
ドメイン変更に伴い、URLを変更しました。

投稿をシェア

“無料SSLを悪用する詐欺サイトをブロックするAdblockのフィルタ” への1件の返信

コメントを残す

メールアドレスが公開されることはありません。