フィッシングによる被害を防ぐため、Webサイトにアクセスする際に利用者が注意すべき点と、Webサイトを構築する際の留意点を説明していこう。
インターネットはもはや、私たちの生活に欠かせないものになりつつある。それに伴い、ウイルスやスパイウェア、フィッシングなどによる被害も日々増加してきた。数年前は被害者を驚かせるだけの愉快犯が主流だったが、最近では明確に金銭的利益を狙った攻撃が増加し、危険度が高まっている。
したがってインターネットを利用する側は、こうした被害に遭わないために「どのような事柄に注意すればよいか」という最低限の知識を身に付けておく必要がある。同時に、Webサイトを構築し、運用する際には、こういった悪意ある行為への対策を考慮しなければならない。
この記事ではフィッシング対策を例にとり、Webサイトにアクセスする際に利用者が注意すべき点とともに、Webサイトを構築する際の留意点を説明していく。
フィッシングとは、実際の企業/団体を装った偽の電子メールやリンクから利用者を偽のサイトに誘導し、ログインアカウントやクレジットカード番号、氏名、住所などの個人情報を詐取する行為のことだ。このような行為を行う者を「フィッシャー」と呼ぶ。
フィッシャーが送信する電子メールのほとんどは、「個人情報が危ないので、ログインして登録内容の確認を」「今購入すると定価の半額」などの利用者の気を引く文章と、それを確認するためのURL(=フィッシャーが用意した本物そっくりに作られた偽サイトへのURL)が記されている。これを信用した利用者が偽のサイトを訪れてしまい、ログイン(もどき)の操作や買い物などをすると、入力した情報がフィッシャーに詐取されてしまう(関連記事)。
では、どうにかして、訪れたサイトが本物か偽物なのかを見分けることはできないだろうか? これが判断できさえすれば、フィッシングの被害に遭わずにすむ。
実は、このような仕組みは既に存在している。それが「電子証明書」だ。電子証明書を用いればWebサイトの所有者に関する情報を確認できるため、この情報に基づいて「本物のWebサイト」と「偽物のWebサイト」を判別することができる。
オンラインショッピングをしたことがある人なら、「HTTPS」という文字を一度は目にしたことがあるのではないだろうか。
多くの人はこの機能を漠然と「データを暗号化する」といったイメージでとらえていると思う。しかしHTTPSの持つ役割はそれだけではなく、「なりすましを防止する」という重要な役割も果たしている。このなりすましの防止に電子証明書が使われているのだ。
電子証明書は「公開鍵暗号」を利用したPKI(Public-Key Infrastructure)という認証インフラに基づく技術である。本稿では公開鍵暗号についての詳細説明は割愛するが(関連記事)、電子証明書は認証局(証明書を発行する機関)に発行依頼を出すことで取得できる。発行された電子証明書には、Webサイトのホスト名や運営する組織名といった情報が含まれており、証明書の内容は、HTTPSでサイトにアクセスした際に表示される鍵マークをダブルクリックすれば確認できる(画面1、2)。
以下に、電子証明書に含まれる代表的な情報を示す。
・電子証明書が発行されたWebサイトのホスト名
・認証局の名前
・電子証明書の有効期限
・Webサイトを運営する組織名
・運営する組織の所在地
基本的に、電子証明書の検証はWebブラウザが自動的に行い、検証される項目は以下の通りである。
これらの項目に問題がなければ、Webブラウザは警告を出さない。
ここで注意が必要となるのが、フィッシャーが正規のサイトと紛らわしいドメインを取得して偽サイトを作り、そのサイトに対して電子証明書を取得した場合だ。この場合、電子証明書自体には問題はないため、Webブラウザは警告を出さない。Webブラウザが検証するのはあくまで「Webサイトのホスト名」「証明書の期限」「認証局の信頼」であり、「このWebサイトが本物である」ということを保証するものではない。
Copyright © ITmedia, Inc. All Rights Reserved.