Secure Hosting:安全なWebサイト運営を実現する SSLの基礎知識

第3回フィッシング詐欺事件簿

IDやパスワード、クレジットカード番号といった個人情報を盗むフィッシング詐欺は、直接の被害者だけでなく、本物のWebサイトの運営者にも信頼性の失墜という大きな被害を与えます。ここから身を守るための第一歩として、SSLサーバ証明書を活用しましょう。

懸賞のお知らせメールから始まったAさんの悲劇

Aさんが仕事を終えて帰宅し、いつものようにメールチェックをしたところ、普段から利用しているショッピングサイトの運営企業名義で「会員限定の懸賞をご用意しました!」というタイトルのメールが届いていた。内容は、登録ユーザ限定の懸賞を用意したので、特設ページでログインして応募してほしいというもの。プレゼントの中にはAさんが欲しかったゲーム機の名前もあり、喜んでそこに書かれたURLをクリックし、自身のIDとパスワードを入力して早速申し込んだ。

その後数週間待ってみたが、プレゼントが送られてくることはなかった。完了画面には「当選者の発表は発送をもって代えさせて頂きます」と書かれていたので、特に不審に思うこともなく、単に懸賞に外れたのだろうと考えていた。

そんなAさんに異変が起こったのは数ヵ月が経ってから。クレジットカード会社からの請求書に、これまで見たことのない大きな数字が書き込まれていたからだ。慌てて明細を確認すると、懸賞に応募したあのショッピングサイトで多額の買い物をしていることになっている。そんな記憶はないAさんは、ショッピングサイトに問い合わせてみるが、確かにAさんのアカウントで買い物が行われているということだった……。

買ってもいない商品の購入代金がAさんに請求されたのは、実は懸賞の応募を勧誘するメールや、そのメールから誘導されたWebサイトはすべて偽物で、そのショッピングサイトの利用者のIDとパスワードを盗み取るために仕掛けられた巧妙な罠だったのである。近年増えつつあるこうした手口を「フィッシング(Phishing)詐欺」と呼び、被害が拡大していることから注目を集めている。

フィッシング詐欺の具体的な手口はさまざまだが、懸賞やセキュリティ維持のためなどといった口実を用いてメール受信者を偽のWebサイトに誘導し、そこで入力させた情報を盗み取ることが多い。こうした情報を使って、たとえばAさんが引っかかった手口のように商品を購入したり、あるいはオンラインバンキングを提供している銀行のWebサイトのアカウントを入手すれば、お金を別の口座に不正に移すといった行為を行うわけだ。

画面やURLでは本物と偽物を見分けることは難しい

こうしたフィッシング詐欺において、被害者となるのは騙された個人だけではない。運営しているWebサイトを悪用された企業も、フィッシング詐欺のターゲットとなればイメージに悪影響を及ぼしかねない。さらに適切なフィッシング詐欺対策を講じていなければ、運営側にも責任があると言われかねない。そもそもユーザにおいてもセキュリティ意識は高まっており、きちんとした対策を講じずにユーザにIDやパスワード、あるいは個人情報の入力を促すようなサイトは敬遠されつつある。

では、具体的にどういった対策を講じる必要があるのだろうか。フィッシング詐欺では、多くの手口で「偽のWebサイト」が利用される。ここに被害者を誘導し、IDやパスワードを入力させるというわけだ。この偽サイトは本物のサイトのHTMLや画像データを無断で悪用することなどにより、一見しただけでは本物のサイトとは見分けが付かないようになっているケースがほとんどである。画面イメージが本物と似通っていても、URLを確認すれば偽物だと分かるケースも多いが、たとえば「○○.co.jp」という本物のWebサイトのURLに対して偽サイトのURLが「○○-shop.jp」となっていれば、利用者がフィッシング詐欺であることに気づかずIDとパスワードを入力したとしても不思議ではない。

フィッシング詐欺対策はSSLの利用がはじめの一歩

このように画面に表示される内容やURLの確認による方法では、厳密に本物と偽物を見分けることは難しい。そこでフィッシング詐欺対策として採り入れるべきなのが「SSL(Secure Socket Layer⁠⁠」である。ショッピングサイトなどにおいて、入力した個人情報を暗号化して送受信するための技術として知られているが、それに加えて「SSLサーバ証明書」と呼ばれるデータを利用して、Webサーバの運営者が誰かであることを確認できる。これを利用すれば、いまアクセスしているWebサーバは誰が運営しているのか、つまり正当な運営者のWebサーバであるかどうかを確認することが可能となり、フィッシング詐欺対策になるというわけだ。

ただ、SSLサーバ証明書はITの知識があれば簡単に作れてしまう。このため、悪意のある第三者が偽サイト用に、本来の運営者の名前を悪用して証明書を作成することも不可能ではない。そこでSSLサーバ証明書を作成するときに重要になるのが「信頼できる第三者認証機関に発行してもらう」ということである。いくら自分で作った証明書が本物だと言っても、証明書が偽装される可能性がある以上、それを信用することはできない。そこで偽装の可能性がない、信頼できる第三者認証機関に発行してもらうことで、安心して証明書を信じて受け入れられるというわけだ。

こうした信頼できる第三者認証機関はあらかじめWebブラウザに登録されている。Webブラウザはダウンロードした証明書が信頼できる認証局から発行されたものだと判断すれば、エラーなどを表示せず処理を続行する。その逆に証明書の発行元が信頼できる機関ではないと判断した場合、Webブラウザはユーザに注意を促すエラー画面を表示するため、ユーザは危険を察知できるわけだ。

信頼できるSSLサーバ証明書の利用はユーザの信頼を獲得する第一歩

代表的な第三者認証機関としては、グローバルサインやコモドジャパン、ベリサイン、セコム、サイバートラストなどが挙げられる。ただ、サービスの違いによって発行されるSSLサーバ証明書はいくつかの種類が用意されている。昨今注目されているのは「SGC(Server GatedCryptography⁠⁠」や「EV SSL」と呼ばれているSSLサーバ証明書である。

SGCは40bit、あるいは56bitといった安全性の低い暗号化しか対応していないWebブラウザが使われていても、強制的に安全な128bit以上の暗号化通信を利用するという仕組みだ。これによって、より安全な通信を実現できる。

2つめのEV SSLは、Webサイトの運営者の審査を厳密に行うことにより、SSLサーバ証明書の信頼性を高めたものである。通常、第三者認証機関に証明書の発行を依頼すると、何らかの方法によって申し込みを行った組織は実在している組織かどうか、あるいは本当にその組織から申し込まれたどうかなどの確認が行われる。EV SSLではこの確認の方法を厳密化することによって、信頼性を高めたSSLサーバ証明書である。より高い信頼性を求められるのであれば、EV SSLを利用したい。

Webサイト上で提供するサービスであっても、そのほかのビジネスと同じく重要になるのは顧客の信頼である。適切なSSLサーバ証明書を利用したSSLでのサービス提供は、この信頼を獲得するための第一歩である。ぜひ適切なSSLサーバ証明書を第三者認証機関から取得し、ユーザに安全なサービスを提供しよう。

おすすめ記事

記事・ニュース一覧