headless 曰く、

EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事、 Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。他のブラウザーではURLも表示されるが、フィッシング用のドメインを使用すれば気付かれにくくなる。Internet ExplorerやMicrosoft Edgeでは1クリック、Mozilla Firefoxでは2クリックで発行先企業の所在地情報を確認できるものの、一見して本物かどうかを確認するのは難しい。

Carroll氏の場合は会社設立に100ドル、EV証明書発行に77ドルで済み、1時間ほどの作業でEV証明書を取得できたという。会社設立からEV証明書が発行されるまでの時間は48時間程度だったとのこと。本人確認情報はCarroll氏自身のものを使用しているが、最低限の確認しか行われないため、盗まれた身分証明書などを使用することも可能とみられる。

Burton氏が「Identity Verified」でEV証明書を取得したことが公表されて以来、CA/Browser Forumでは審査方法の見直しが議論されているそうだ。CA/Browser ForumのBaseline Requirementsでは詐欺に使われそうな名称をリスクの高い証明書リクエストの一つに挙げているが、フィッシングのターゲットに使われるような名称のリストの維持は証明機関次第だとCarroll氏は指摘する。また、SafariのようにEV証明書が重要なユーザーインターフェイスをオーバーライドする仕様など、ブラウザー側にも修正すべき点があるとのことだ。