Webサイト利用者を詐欺から守るポイント：企業責任としてのフィッシング対策（2/3 ページ）

[日高和夫，ITmedia]

　また、電子証明書が証明するのは「Webサイトの所有者」なので、初めて訪れたWebサイトの正当性を確かめるには、電子証明書を開き「組織名」や「所在地」といった情報を確認して判断することも重要だ。

発行元の認証局は信頼できるか？

　ブラウザが検証する項目として挙げた「認証局は信頼できるか？」という点について少し解説を加えておこう。

　私たちの周りには「運転免許証」「パスポート」や「名刺」など、身分証となるものが幾つかある。もし、まったく面識がない人の身元を確認しなければならない場合、読者の皆さんならば「運転免許証」と「名刺」のどちらを信用するだろうか？

　おそらく「運転免許証」と答える方が多いのではないかと推測する。なぜなら、運転免許証は公安委員会という信頼のおける機関から発行されているのに対し、名刺は誰でも作成することが可能であり、記載内容も真実とは限らないからだ。たとえ虚偽の記述がまったくなかったとしても、その内容を確かめるためには第三者に確認する必要があるだろう。

　このように、何らかの証明書を信頼することは「その証明書の発行者を信頼する」ことにほかならない。

　電子証明書においても、まったく同じことがいえる。実は、電子証明書の作成自体は、名刺と同じく誰にでもできる作業なのである。だからこそ、発行者である認証局が信頼できるか否かがとても重要になるのだ。

　では、認証局が信頼できるかどうかは、どのように判別すればよいのだろうか？　自力で世界中の認証局の信頼性を調べるなどというのは事実上不可能だ。結論を述べると、Internet ExplorerやFirefoxなどの主要なWebブラウザには、ソフトウェアが出荷される時点で信頼できる認証局が登録されているので、これを利用すればよい。Webブラウザは登録された認証局しか信頼しないため、それ以外の認証局が発行した電子証明書に対しては警告が表示される（画面3）。

画面3●信頼された認証局から発行されていない証明書が用いられているとこのように警告が表示される

　以上、電子証明書について簡単に説明したが、これについてはWebサイト開発者と利用者の両方が最低限理解しておく必要がある。

　では次に、利用者とWebサイト開発者がそれぞれどのようなことに注意すべきかを説明していく。

利用者側での対策

　利用者はWebサイトにアクセスする際、どんなことに注意したらよいのだろうか？　Webブラウザのプラグインとして利用できるフィッシング対策ツールの導入も1つの方法だが、ここでは、専用ツールがなくても簡単にできる対策を挙げてみよう。

●アドレスバーのURLを確認する

　訪れたWebサイトのURLを確認することは、偽サイトを見破る有効な手段である。例えば「http://192.168.80.138/」のようにIPアドレスが表示されていたり、普段訪れるサイトのアドレスと明らかに違う場合などは、偽サイトにアクセスしている可能性を疑ってみる必要がある。

　なお以前は、Internet Explorerのアドレスバーに画像を上書き表示することでアドレス表示を偽造されるという脆弱性が存在した。現在では、Windows XP Service Pack 2（SP2）を適用することにより、この問題を回避することができる。ただし、「0」（数字のゼロ）と「O」（アルファベットのオー）など、一見しただけでは見分けにくい文字もあるので、あまり過信は禁物だ。

●HTTPSと鍵マークの存在を確認

　個人情報の入力や送信を行う画面でHTTPSによる暗号通信が用いられていることを確認する。HTTPSでアクセスした場合、通常ならばURLは「https://」から始まり、Webブラウザの右下には鍵マークが表示される。個人情報の入力を求めるページであるにもかかわらず「HTTP」を使っているWebサイトは、セキュリティに関する意識が低いところだと考えてよいだろう。

　なお、HTTPSでアクセスした際でも、鍵マークがブラウザに表示されているか否かを必ず確認してほしい（画面4）。アドレスバーのURLがHTTPSで始まっているにもかかわらず、ブラウザに鍵マークが表示されていない場合、偽サイトの画面がWebブラウザに表示されている可能性もある。Webページに記されている「このページはHTTPSで保護されています」というようなメッセージだけで安全だと判断するのは非常に危険だ。

画面4●アドレスバーに表示されるURLが「https://」から始まっていること、鍵マークが表示されていることの両方を確認する

●証明書の検証ができない場合は、「いいえ」を押す

　電子証明書の項で上述したように、証明書とはそのWebサイトの所有者を明示するためのものである。証明書の検証ができないということは、そのWebサイトに異常があるか、偽サイトに誘導されていると考えてよい。そのため、電子証明書の検証ができない場合は「いいえ」を押して、そのWebサイトに接続しないようにする。

●証明書の中身を確認する

　初めて訪れたWebサイトの場合は、鍵アイコンをクリックして証明書を開き、意図したWebサイトにアクセスしていることを確認する。過去に一度でも証明書の内容を確認し、問題ないと判断したWebサイトならば、わざわざ電子証明書を開かなくてもよい。証明書が期限切れだったり、証明書とは異なるホストに誘導された場合は、Webブラウザが警告を表示するためだ。

●何より、考えるゆとりを持つ

　フィッシャーの送るメールには、「今すぐに」だとか、「情報が漏えいしている可能性があるため」など、ユーザーの対応をせかす文面が並んでいることが多い。しかし、仮にこのような文面のメールを受け取っても、焦らずに落ち着いて対処してほしい。そのWebサイトにアクセスして情報を入力するのは、周りの友人やWebサイトを運営している組織に直接電話で問い合わせるなどしてからでも遅くはないはずだ。