サーバ証明書解析によるフィッシングサイトの発見手法

Webサイトの急速な「HTTPS化」に伴い，フィッシングサイトのHTTPS化も一般化しつつある．HTTPSを採用することは攻撃者にとって次の利点が存在する．1) アドレスバーに鍵マークが表示されることで作成したWebサイトを本物に似せることができる．2) 暗号化されたトラフィックによってネットワーク上におけるURLベースの検知から逃れることができる．一方で，WebサイトのHTTPS化はフィッシングサイトを発見する上で有用な「痕跡」を残す可能性がある．なぜなら，HTTPS化を行う際には正当な公開鍵証明書をPKIに登録する必要があるからである．以上のことを踏まえて，本研究では証明書のコモンネーム（CN）から抽出したテンプレートを用いた，フィッシングサイト発見手法を提案する．本手法により，未知のフィッシングサイトの発見およびフィッシングサイトを生成するエコシステムの詳細な理解が可能であることを示す．また，本研究で得られた知見を基に，無料の証明書発行サービスを行う認証局への提言を行う．

With the recent rise of HTTPS adoption on the web, attackers have also started "HTTPSifying" phishing websites. HTTPSifying a phishing website has the following benefits for an attacker. First, it may somehow contribute toward making the site appear legitimate. Second, it will disable the URL-based detection in the network because TLS encryption will wipe out the information of the full URL path. On the other hand, adopting HTTPS could also contribute to generating intrinsic footprints, which can in turn be used to systematically detect such phishing sites. This is because they need to register a public key certificates in advance. Given this background in mind, we conduct an extensive analysis of public key certificates collected from a large set of HTTPSified phishing websites. We demonstrate that a template of common names, which are equivalent to the FQDN of the subjects of the certificates, obtained through a clustering analysis of the certificates can be used for the following promising applications: discovering previously unknown phishing websites and understanding the infrastructure used to generate the phishing websites. We use our findings on the abuse of free Internet services (such as free certificate authority) to provide recommendations to associated stakeholders.