ITmedia NEWS > ネットの話題 >
ニュース
» 2018年06月06日 06時00分 公開

ITりてらしぃのすゝめ:存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代 (2/2)

[宮田健,ITmedia]
前のページへ 1|2       

 皆さんは「EV SSL」という仕組みをご存じでしょうか。そこには皆さんもなじみ深い「SSL」という文字が入っていますね。SSLを大変簡単に説明すると、皆さんが使うWebブラウザとサーバ間を「暗号化」する仕組みです。錠のマークが付いていれば、通信が暗号化されるというのは何となく知っているのではないでしょうか。ネットでショッピングしたり、オンラインバンキングを利用したりするときには、必ずこの「錠のマーク」があることを確認してから行いましょう。

SSL 例えばYahoo!ニュースをChromeで見ると、錠のマークと共に「保護された通信」と表示されるため、一目で安全であることが分かる

 では、EV SSL(EV SSLサーバ証明書)とは何でしょうか。例えばITmediaのID登録ページを見ると、先ほどとはちょっと異なり、「ITmedia Inc.」と表示されます。EV SSLを使うと、このように運用企業の名前が表示されるので、このページが本物であり、フィッシングやなりすましではないことが見た目で分かるというのがポイントです。

EVSSL EV SSLサーバ証明書を利用したページは、運用団体が設定したテキストがそのまま表示される

 EV SSLサーバ証明書はこのような特別な動作ができるため、証明書を発行する際に「実在性」をしっかり確認します。企業であれば登記書などまで確認するという徹底ぶりですので、この表示がされていれば信頼できる、というのがこれまでの常識でした。

 しかし、それが揺らぎそうな事件がいくつか散見されます。2018年5月に八千代銀行、東京都民銀行、新銀行東京の3行が合併して誕生した「きらぼし銀行」にて、合併直後のEV SSLサーバ証明書の表示が、存続銀行だった八千代銀行のものになっていたのが話題になりました。

EV 5月3日時点では、きらぼし銀行WebサイトのEV SSLサーバ証明書が「The Yachiyo Bank Limited.」と表示。実際のWebサイトの中身と異なる表記になってしまっていた(記事執筆時点では修正済み)

 これまではEV SSLの仕組みとして「表示されているサイトの内容と、ブラウザのURLに書かれた組織名が一致していることがすぐに分かるため、フィッシングサイトかどうかの判断が簡単である」ことがメリットとしてうたわれていました。

 しかし、残念ながら上記の状態は本物のサイトかフィッシングサイトかを判断できないと言わざるを得ません。なお、原稿執筆時点では、正しくきらぼし銀行のものに変更されていますのでご安心を。

 ただし、この一件に関してはきらぼし銀行に同情すべき点があります。このEV SSLサーバ証明書の発行には、登記簿謄本など合併後のタイミングでないと確認できない資料が存在していた可能性があります。

 とはいえ利用者の立場では「EV SSLの表記を見るだけで安全かどうかがすぐに判断できる」という最大のメリットを台無しにしてしまう大事件といえます。これはどちらかというと、EV SSLサーバ証明書の発行業務が、日本の商習慣に合っていないということなのかもしれません。

 この件に限らず、EV SSLが「利用者に分かりやすい判断方法」として目指してきたものが、運用によって損なわれる事例が増えてきました。このような状況が散見されると、利用者に対しても「EV SSLだけでは判断ができません」と言わざるを得ず、個人的にも頭を抱える問題だと思っています。

Webサイトを安全に作ることの責任

 インターネットの世界は、日々新たなリスクが生まれていきます。属性型ドメインを運用することで「ドメインを見るだけで政府が主体であることが分かる」、EV SSLのように「URLバーを見るだけで、本物のサイトかどうか判断できる」というように、手軽に安全性が分かるよう、運用を工夫してきました。

 しかし、その仕組みをしっかり理解しないまま運用すると、せっかく利用者の利便性を考えた仕組みが、逆に「だましやすい仕組み」になってしまうことがあります。独自のドメインを取ったり運用したりすることは、確かにブランド価値を高める意味では格好よく、意識の高い取り組みに見えます。

 しかし、数年たってそのドメインが失効し転用されるなど、運用を考えないと後々大変なリスクになりえるのです。

 インターネットは老若男女問わずに浸透し、決して「ITシステムに詳しいエンジニア」だけが利用するものではなくなりました。もちろん、利用者が何も気にしなくても安全・安心が実現できる世の中にすることが、最も正しい方向性であると私は考えています。

 そのような世界を実現できるまでは、私たち利用者側もほんの少し仕組みを理解し、安全になるよう寄り添う必要はあります。「作り手」はITに詳しい人だけとは限りませんが、できれば世の中に既にある安全性を担保する仕組みを知り、なるべく正しく運用してほしいと思います。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.