Webサイト運営者も注意を：日本ユーザー対象の不正広告攻撃にLet's Encryptが悪用される - ＠ IT

全てのWebをセキュアにする目的で活動するLet's Encryptの証明書が悪用された。主に日本のユーザーを対象とした攻撃に利用されたことが分かっているという。 米トレンドマイクロは1月6日（米国時間）、「Let's Encrypt」の証明書が不正広告攻撃に悪用されたことを確認したと発表した。 この攻撃の主な対象は日本のユーザーで、不正広告で「Angler Exploit Kit」をホスティングするWebサイトに誘導し、トロイの木馬であるネットバンキングアプリをダウンロードさせるというものだ。トレンドマイクロが2015年12月21日に検知した不正広告サーバには、ピーク時（12月25日）で50万件近いアクセスがあったという。同社はLet's Encryptにこの件を報告済みだ。 攻撃者は適正なドメインの下に「domain shadowing」と呼ばれる手法で攻撃者が制御するサブドメインを作

[y-kawaz]

DV証明書は経路安全と通信相手がドメイン権利者な保証だけで運営者は証明しない。有料CAでもDVなら保証は同じでLet’s-の違いはコストだけ。だから社会的実在証明の確認は鍵マークじゃなくEVの緑バーを見るんだよ。

[igrep]

"Webサイトの安全性を確認し、知らぬ間に新たなサブドメインが追加されていないかどうかを把握すること" 乗っ取った他のサイトのサブドメインで勝手に取得したってこと?

[tachi3927]

やはり悪用されちゃうんだなぁ #ym

[digitalglm]

Webサイト運営者も注意を：日本ユーザー対象の不正広告攻撃にLet's Encryptが悪用される - ＠ IT: 全てのWebをセキュアにする目的で活動するLet's…

[smbd]

証明書屋さんの思惑通り～

[vanbraam]

だからLet's Encryptの証明書の用途は暗号化だけで身元証明には使えないって.そんなの仕組みからして当然だろう.その辺の周知をLet's Encrypt側ももっと徹底してほしい