電子証明書の発行元にも注意を：企業責任としてのフィッシング対策

一口に電子証明書といっても、その発行元はさまざま。提供するサービスに応じて適切な「実在性の確認」を行うべきと日本ベリサインは指摘する。

[高橋睦美，ITmedia]

　PKIの仕組みに基づく電子証明書は、訪れたWebサイトが本物かどうかを見分ける重要な手段の1つである。

　別記事でも紹介したとおり、そもそも電子証明書には2つの役割がある。1つは、SSLによる暗号化通信を実現するという比較的知られた用途だ。もう1つは企業の認証である。「電子証明書によって、確かにその会社が存在し、そのWebサイトを運用しているということを確認する術を持つことになる」（日本ベリサインのマーケティング部プロダクトマーケティング、伊出浩司氏）

　ただ、注意も必要だ。というのも、一口に電子証明書といっても、その信頼度はさまざまだからだ。「単に電子証明書が導入されているかどうかだけでなく、その証明書がどこから発行されたのか、発行元は信頼できるのかどうかも確認してほしい」と同社マーケティング部、マーケットディベロップメント、野中由美子氏は語る。

　「中には企業をきちんと『認証』する作業を行わず、ドメインを機械的にチェックするだけで発行される証明書もある」（伊出氏）

　ところが現在、ドメイン名のほとんどは、クレジットカード番号さえあれば個人でも取得可能だ。ドメイン名のチェックだけに基づく証明書発行サービスを併せて利用すれば、匿名でも電子証明書の取得が可能となる。つまり、フィッシャーが正式に電子証明書を取得し、フィッシングサイトを開設することも可能であり、事実、そのようなフィッシング詐欺が報告されている。

　ちなみに日本ベリサインの場合、電子証明書の発行手続きの際には帝国データバンクのコードや登記簿謄本などの書類を用いて実在性の確認を行っている。このため「架空の企業が電子証明書を取ることはできない」（伊出氏）

　ただ、個人やそのグループで電子証明書を取得しようとすると、こうした厳密な認証手続きが逆に障壁になることもある。

　ここで重要なのは「何のために」「どんなWebサイトで」その電子証明書を利用するのかということだ。たとえば、仲間内やイントラネットという閉じたエリアでSSL通信を行いたいというのであれば、比較的安価な電子証明書発行サービスを利用するのも1つの手だ。しかし、身元の保証まで求めるのであれば、しかるべき手続きに基づくサービスを選択すべきだと両氏は語った。

　また、電子証明書には有効期限がある。中には「担当者が変更になるなどで、期限切れを忘れてしまうこともある」（野中氏）。日本ベリサインの場合、「事前に電話をかけるといった方法で確認する」というが、もし切れてしまうと、たとえ正しいサイトにアクセスしていてもWebブラウザが警告を表示する。自分で自分を認証する（＝その発行元は基本的に信用することができない）「自己署名」の電子証明書を用いないことと併せて注意しておきたい。

電子署名にも同様の問題

　手元の電子メールが確かにその企業から発行されたことを示す電子署名にも、証明書の発行元は信頼できるのかどうかという問題は共通することだという。

　電子証明書を用いて電子署名をメールに施しておくと、受信者がS/MIME対応のメーラーを用いて検証することにより、発信者の身元を確認できる。したがって、どこかの企業をかたったフィッシングメールが送られてきても、その偽装を見破ることが可能だ。

　ただ、電子署名用の電子証明書についても「ドメイン名のチェックだけで、オンラインのやり取りで取得できてしまうものなど、いろいろなレベルがある」（伊出氏）。どのような形で実在性を証明しているサービスなのかを見極める目が、ここでも求められるという。

　もっとも電子署名に基づく送信者認証は、メーラー側の対応や使い勝手、ユーザーの認知度といった課題が存在し、まだ広く普及していないのも事実。しかし「やはり身元確認手段の1つとして有効。愛知銀行などのように、フィッシングメール対策を目的に『ベリサイン セキュアメールID』を導入している企業も増えている」（野中氏）という。