金融業界で広がる強化版SSL、日本ではモバイル版も
日本ベリサインは、強化版SSLの「EV SSL」証明書の最新動向を説明。国内では金融機関での採用が急速に広がる。
日本ベリサインは11月19日、機能を強化したSSL「Extended Validation(EV) SSL」サーバ証明書に関する説明会を開催した。国内では金融機関での採用が進み、携帯電話に対応した製品も登場している。
EV SSLは、主要ブラウザベンダーや認証機関が参加する米CA/Browser Forumが2006年に策定し、同年12月から日本以外の地域でリリースされた。国内では1月に設立された日本電子認証協議会がEV SSLのローカライズ化(法人名称の表記ルールなど)を図り、3月に国内版をリリース。8月には携帯電話向けEV SSLも公開された。
ティム・カラン氏米VeriSignプロダクトマーケティングディレクターのティム・カラン氏は、EV SSLリリース後の動向について説明した。同氏によれば、現在までにVeriSignが発行するEV SSLサーバ証明書は世界で1600サーバ以上になった。製品リリースから3〜4カ月を経た後に導入が急速に進んだという。
EV SSLでは、EV SSLサーバ証明書を導入したWebサイトにアクセスすると、Webブラウザのアドレスバーの背景色が緑色で表示(グリーンバー)され、サイト運営者と認証機関名が表示される。現在対応しているのは、Internet Explorer 7(IE 7)のみだが、「Firefoxではプラグインもしくはバージョン3でサポートされ、Operaも次期バージョンでサポートされる見込みだ。IE 7はすでにインターネットユーザーの34%が利用しており、FirefoxとOperaのサポートで、ユーザーの半数以上がEV SSLを利用できるようになる」(カラン氏)
なお、EV SSLのグリーンバー機能は、Windows Vista環境では標準的にサポートされるものの、Windows XPでIE 6をIE 7へ更新した場合には、VeriSignが提供するツール「EV Upgrader」を利用するなどして対応させる必要がある。同ツールは「VeriSign Secured Seal」を提示するWebサイト(世界で約9万サイト)にアクセスすると自動で組み込まれる仕組みになっている。
導入企業は、eBayやPeyPalなどのオンラインショッピングサイト運営企業や、金融業界、旅行サービス、証券、運輸など多岐にわたる。カラン氏によれば、EV SSLのグリーンバーはサイト訪問者に信頼感を与えるといい、例えば日用雑貨品販売の米Overstock.comではグリーンバーの表示によってトップページから離脱するサイト訪問者が8.6%低下した。また、金融サービスの米DebtHelp.comではCTR(広告クリック率)が11%増加した。
一方、国内のEV SSL導入では7月にソニー銀行が導入したのを皮切りに三井住友銀行や三菱UFJ証券、イー・バンクなど金融、証券業界での導入が進む。さらに、ベリサインでは日本独自製品として携帯電話向け「グローバル・サーバID EV for Mobile」を発売した。VeriSignのPCサイト向けEV SSL製品では一部の携帯電話端末がSSL通信に対応できないため、携帯電話向け製品では対応機種の拡大を図った。
なお、携帯電話のWebブラウザ(フルブラウザを含む)はグリーンバーに対応していないため、通常のSSL処理の表示(鍵マークなど)がなされる。カラン氏は、「将来的にモバイルブラウザベンダーや端末メーカー、通信事業者と協力して、携帯電話でもPCと同様にEV SSLを利用できる環境整備を実現していきたい」と話した。
複雑化するオンライン犯罪
EV SSL証明書は、従来のSSL暗号化に加え、なりすましやフィッシング詐欺からユーザーを防御する機能を強化している」等々のメリットを加える。今年5月に米Anti-Phishing Working Groupが行った調査によれば、フィッシング詐欺サイト数は過去18カ月間に約4000サイトから約5万5000サイトに拡大した。「オンライン決済やバンキングなどに加えて、最近ではソーシャルネットワーキングサービスや公共料金の支払いサイトに偽装するケースも登場した」とカラン氏。
さらには、不特定多数の人間を狙う従来の手口に加え、資産家や企業の重役など特定の人間を狙うスピア型フィッシングの勢いも増しているという。オンラインサービス利用者のアカウント情報が膨大なデータベースに蓄積されつつあり、オンライン犯罪の組織が水面下でこうしたデータベースの売買を手掛けるケースが増えつつあると、カラン氏は指摘する。
また、フィッシング詐欺サイトへ誘導する手口の巧妙化も進み、ユーザーへセキュリティの警告やソフトウェア更新を呼びかけて詐欺サイトへ誘導するケースや、くじの当選通知、商品の注文確認、グリーティングカードサービスを利用した手口も登場している。特にグリーティングカードは、「閲覧者が最も油断しやすいため、目を付ける犯罪者が増えている」(カラン氏)という。
このほかにも、キーロガーやボットネットによる大規模犯罪も発生している。カラン氏は、「もはやセキュリティベンダーの取り組みが追いつかなくなりつつあり、EV SSLのような信頼性を正しく証明する仕組みが2008年以降に広がるだろう」と話した。
関連記事
- 「北京五輪ツアーに当選!」スパムに要注意
- 力を誇示? 新世代ツール使ったフィッシング攻撃が激増
- Trend Micro偽サイト、「ウイルス対策ソフト無償提供」でおびき寄せ
- eBay狙った詐欺メールが激減 ユーザー啓発が奏功
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
ITmediaはアイティメディア株式会社の登録商標です。