機能強化版SSLは「厳格な審査で一段高い信頼を実現」

米VeriSignのプロダクトマーケティングディレクター、ティム・カラン氏が来日し、強化版SSL「EV SSL」策定の背景と目的などを語った。

[高橋睦美，ITmedia]

　日本ベリサインは4月21日、機能強化版SSLに当たる「Extended Validation（EV）SSL」サーバ証明書に関する説明会を開催した。米VeriSignのプロダクトマーケティングディレクターで、EV SSLの仕様策定にも携わってきたティム・カラン氏が、EV SSL策定の背景と目的などを語った。

　現在、自分が目的通りのWebサイトにアクセスしているのか、フィッシング詐欺を仕掛ける偽サイトではないかを見分ける手がかりとしては、アドレスバーに示されるドメイン名のほか、SSLサーバ証明書を利用することができる。Webブラウザの右下に表示される鍵アイコンをクリックするとサーバ証明書の内容が表示され、ここでWebサイト運営者の名前を確認することが可能だ。

　しかし、フィッシング詐欺を仕掛ける側もこの対策を逆手に取るようになった。「ドメイン名の確認だけでOK」という具合に、一番最初の証明書発行の手順が甘い認証局を選んでSSLサーバ証明書を取得し、堂々と実在性や信頼性がある組織に見せかけてフィッシングサイトを設置するという手法だ。この場合、ユーザーが正しいドメイン名を記憶していない限り見破るのは困難になる。

　事実カラン氏によると、2005年には、SSLサーバ証明書を用いているフィッシングサイトが約400確認されたという。「これまでのサーバ証明書発行のプロセスは認証局によってばらばらだった。このため、身元を偽ることも可能だった」（同氏）

米VeriSignのプロダクトマーケティングディレクター、ティム・カラン氏

　EV SSLサーバ証明書はこの点を強化すべく、主要ブラウザベンダーや認証機関が参加しているCA/Browser Forumによって策定された仕様だ。「すべての人に対し、高いレベルの手順を求める」（カラン氏）。より厳格で統一された基準の下で審査を行うことで、一段高いレベルの「信頼」を確立し、詐欺師らによる悪用を防ぐ仕組みだ。

　EV SSLサーバ証明書を実装したWebサイトにアクセスすると、アドレスバーの背景色が「緑色」で表示される。またそのすぐ横に、証明書を受けた事業者の名称と証明書発行元も示される仕組みだ。逆に、何か疑わしいコンテンツが含まれているときは「黄色」、期限切れや改ざん、自己署名証明書のように、証明書に何らかの不備があると「赤」になる。拡張なしの従来のSSLの場合は、透明色（白）だ。

　これに、Webサイトのレピュテーション（評判）サービスやWebページ解析機能などを組み合わせることで、疑わしいサイトを正確に見抜き、ユーザーに警告することが可能だと同氏は説明した。

　現在EV SSLをサポートしているWebブラウザはInternet Explorer 7のみ（フィッシングフィルターおよびOCSPチェック機能を有効にしている場合）。しかし同氏によると、2007年秋にリリースされるFirefoxの次バージョンでサポートされるほか、Operaなどもサポートを表明しているという。

　IE 7がEV SSLを実装したのは2月のことだが、フィッシング詐欺対策には一定の効果が見込めそうだ。

　過去にForrester Resarchが行った調査では、オンライン犯罪を懸念するあまり、オンラインショッピングを控えるユーザーが24％あったという結果も出ていた。逆にTec-EdがEV SSLについて実施したユーザー調査によると、クレジットカード情報を入力するユーザーが、EV SSL非対応のサイトでは63％だったのが、緑色のアドレスバーが表示されたサイトでは97％に達した。また興味深いことに、ユーザーの77％は「前回アクセスしたときはアドレスバーが緑色だったにもかかわらず、今回はそうでない場合、アクセスを避ける」と回答したという。

　「たとえば銀行のサイトに毎日アクセスし、緑色のバーを確認している人のところにフィッシングメールが届いたとする。本文中のリンクをクリックした先のサイトに緑色のアドレスバーがなければ、おかしいと気付くことができる」（同氏）。事業者には信頼を、エンドユーザーには安心とわかりやすさを提供できることから、EV SSLは今後3年のうちにデファクトスタンダードになるだろうと予測した。