Netcraft - Internet Research, Anti-Phishing and PCI Security Services |
インターネットサービス企業Netcraftは11月19日(英国時間)、「World Bank hacked by PayPal phishers|Netcraft」において、世界銀行グループの運用するWebサイトがハッカーによって侵入を受けた後、PayPalのフィッシングサイトとして悪用されていたことを伝えた。
サイトのEV SSL証明書(Extended Validation SSL Certificate)は正規のものであるため、ユーザはフィッシングサイトであることに気がつかずにサイトを利用した可能性がある。
EV SSL証明書はSSL証明書よりも取得にかかる手間がかかるため、より安全であるとされている。しかし、EV SSL証明書の信頼性はサイトが攻撃者によって乗っ取られていない場合に成立するものであり、サイトが攻撃者に乗っ取られている場合、正規のEV SSL証明書が使われているといっても、信頼できるサイトとは言えない状況にある。
サイバー攻撃は巧妙化が進んでおり、情報セキュリティに詳しくないユーザにとっては安全なページであるかそうでないかの切り分けがますます難しいものになってきている。SSL証明書に関しても誤って発行されたケースがこれまで報告されているほか、今回のケースのようにサイトが乗っ取られている場合は信頼の担保としては効力を見込めなくなる。