日経XTECH曰く「SSL証明書の発行者がLet's Encryptならまず詐欺」 | スラド セキュリティ
技術系メディアの日経クロステック (xTECH) が 4 日に公開した「偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう」という記事が問題になっているので共有したい (はてなブックマーク)。 問題になっているのは、現代では SSL の有無だけで本物かどうか判断できないため証明書の種類を見るべきだとする以下のような記述。 このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」ならまず詐欺なので用心しよう。
BGPハイジャックでビットコインの採掘結果を奪う攻撃、攻撃者は83,000ドル以上の利益を得る | スラド セキュリティ
Dellのセキュリティ部門の研究者の分析によれば、あるハッカーがBGPハイジャック攻撃を使い、Bitcoinなどの仮想通貨マイニングプールへのトラフィックを偽プールに振り向けるという手法で8万3,000ドル以上の不正な利益を得たという(WIRED、Dell SecureWorks)。この攻撃は19以上のISPに影響を与えたそうだ、 この攻撃はわずか1分以内に完了してしまう上、大抵のユーザは一度行った設定を見直さないためなかなか発覚しないのだという。Dellの研究者は、こうした問題は、Bitcoinの新たな脆弱性となりうるだろう、としている。 この攻撃では、Bitcoinなどの採掘を行っているノードの接続先を攻撃者のネットワークにある「偽のコインプール」につなぎ替えることで、その採掘の結果得られたBitcoinを攻撃者のものにしてしまうという。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
