「オレオレ証明書」にご用心？ あなたのPCを守る認証システムを考える：クライアントセキュリティ大作戦（4/4 ページ）

[小林哲雄，ITmedia]

最後は人の目がモノを言う

　SSLを行うサイトは正しいサイト証明書を持つ必要があり、フィッシングサイトは本物と同じ証明書は持てないため、警告が出ずに接続される正しいSSLならば安心という風潮があった。だが、これは現在では必ずしも正しくない上に、その前提が崩れかけている。

　以前のフィッシングサイトは、まったく関係ないサイトを本物と同じサイトのアドレスバーに見せかけるツールバー偽装で行っていた。だが、これはWebブラウザのセキュリティアップデートで対策されており、新たな手段が必要になってきている。

　そこで登場したのが、似たような名前のサイトを作りそこに誘導する手法だ。たとえば以前ならば「『https://www.ITmedia.co.jp/security/』にアクセスを」というHTMLメールを送り、HTMLのリンク先記述を実際には全然違うサイトに誘導して偽装を行っていた。だが、最近は「『https://www.ITmedia-security.com/』にアクセスを」というように紛らわしいドメインを取得して「誤解」させる手段が取られている。

　また、サーバ証明書を発行する団体の中には審査が甘いところもある。このようなところに証明書の発行を依頼すれば、SSLで保護されている「安全そうに見える」フィッシングサイトができてしまう。サーバ証明書が証明するのはあくまで「そのドメイン名が正当なものであり、なりすましされていない」ことであり、運営しているのが信頼できる団体かどうかではない。従来はサーバ証明書を取得するための審査が難しかったり、時間が掛かるというリスクがあったため、サーバ証明書を用意しているフィッシングサイトがなかっただけだ。

　もしあなたが企業のサイトを運営しており、自社サイトが正当なものであることを強調したいなら、自社サイトに電子証明の正当性を訴えるページを用意するとよい。これはSSLだから安全という記載ではなく、

• 暗号化のビット数
• 暗号化を行っているサーバのドメイン名
• サーバ証明書の認証局名称と運用ポリシー

など、具体的に表記するとよいだろう。トップページからのリンクでサイトの電子証明書の確認方法と共に使用しているサイトドメイン名を明記したポップアップを用意している。

　SSLは個人情報を受け取る可能性のあるWebサイトを運用する場合に必須のものになっている。SSLを正しく運用するためにも、サーバ証明書の扱いはしっかりとするようにしよう。

このコンテンツは、サーバセレクト2006年5月号に掲載されたものを再編集したものです。