ルート認証局の詐称はすっかりカジュアルな攻撃方法になっちまったな

ルート認証局の詐称はすっかりカジュアルな攻撃方法になっちまったな

感染後にWERDLODは、PCのレジストリを書き換え、ユーザーが26のJPドメインへアクセスする際に、攻撃者が設置したとみられるプロキシサーバを経由するように設定を変更する。26のJPドメインは、攻撃者が指定した可能性のある4つの大手金融機関と10の地方銀行などのネットバンキングサイトが含まれていた。

さらにWERDLODは、細工したルート証明書を感染PCにインストールする。インストール時に警告が表示されるが、WERDLODが勝手に警告メッセージの「はい」ボタンを押してしまうため、ユーザーが気付く間もなく、勝手に証明書が追加されてしまう。

はい。ちっとも珍しくなくなりましたね、この手の攻撃手法。侵入経路としては

WERDLODは、日本語で書かれた通販会社の偽の請求書を通じて感染する。メールには「ご注文No.」や「画像をダブルクリックして領収書をお受け取り ください」と記載され、「Invoice」と書かれている場合もある。添付されているRTFファイルを開くと感染してしまう。

ということで、これも珍しくないです。

対処法としては「企業のネットワークが侵害される場合、その発端はおそらく従業員がEメールの添付ファイルをクリックすることである」を徹底すること。

あとは

ネットバンキング側でEV SSL証明書を採用している場合、通常はユーザーのWebブラウザのアドレスバーが緑色に変化する。WERDLODを使った攻撃の場合はアドレスバーの色 が変化せず、ユーザーが攻撃に気が付く可能性があるという。同社では銀行側の対策として多段階認証やクライアント証明書を利用したSSLクライアント認 証、EV SSL証明書の導入などを挙げている。

ということで、個人的には X.509 型の hierarchical PKI そのものに対する信頼性が揺らいでるのに EV SSL の信頼性など（5年10年のタイムスケールで見れば）時間の問題だと思うが、とりあえず鼻の先は有効なので、ブラウザ画面のあちこちに気を配りながら（面倒くさ！）安全なネット生活をお過ごしください。