ニュース
» 2008年11月29日 09時00分 公開

ハギーが解説 目からウロコの情報セキュリティ事情:SSLを過信していませんか――ネットバンキングに潜む誤解とは (2/2)

[萩原栄幸,ITmedia]
前のページへ 1|2       

「SSL」の意味を知らないと……

 ここでSSL通信にまつわる嘘のような本当の話を紹介しましょう。

Aさん 「萩原さん、ちょっと聞いてください! このクレジットカードの利用明細ですが、どう見てもおかしいのです」

萩原 「何がどうおかしいのですか? 何か早とちりでもしていませんか? 」

Aさん 「この日は札幌に出張で出かけていてずっと仕事をしていたのに、東京の秋葉原でビデオカメラを買ったことになっているのです。ビデオカメラは4年前に購入して押入れにしまったきりなのに! 絶対に怪しいですよ! 」

 ここまで聞いて、わたしは少し心配になったので、Aさんと前月分の利用明細も確認してみました。すると、このほかにもAさんが覚えていない怪しげな点がいくつも見つかったのです。その中には、海外の店舗と思われる明細がありました。

Aさん 「あ、それは関係ないですよ。2カ月ほど前に格安ツアーでマレーシアに行った友人がすごく安い通信販売サイトの存在を現地の人から聞いたのです。わたしもその店のサイトにアクセスしてみたら、本当に安くてびっくりしてしましたよ。現地価格の半値以下で買えるし、萩原さんが言っていたSSLのマークもあったので、安心して利用できましたよ」

 わたしはこの話を聞いて目が点になってしまいました。実はこのようなケースが極めて危ないのです。こういった店のサービスの一部には、商品売買の利益よりも、一人でも多くの顧客を呼び寄せて、クレジットカード情報を入手することが狙いになるのです。拠点を転々と変えるケースもあれば、クレジットカード会社を信用させるために店構えを立派に構えているケースもあります。つまり、店舗全体がいわばスキミング詐欺の会社であり、残念ながら対抗手段はこのような店舗で物品を買わないことしかありません……。

 Aさんの場合、どうやらこの店でクレジットカード情報がコピーされ、日本に滞在している仲間に伝え、Aさんになりすまして品物を買いあさったようです。

Aさん 「そんなことってあるのですか、SSLは安全なのになぜこんな被害になるのか、信じられません! 」

萩原 「SSLの意味をちゃんと知っていますか? SSLはインターネット上の通信を暗号化することで、その経路で盗聴されたとしても内容が読み取れないという意味での安心なのですよ。店にデータが届いた瞬間に復号化されて誰でも読み取れるので、店で悪さをされたらどうしようもないのです! 」

Aさん 「うー。そんなー……」

 私も不安になって周囲のPC初心者に直接聞いてみたところ、何と3割ほど人がSSLの意味を誤って理解していました。まだ啓蒙活動がとても重要であると再認識したほどです。SSLは、インターネットの商行為全体に安心を提供するものではりません。単にネットワークの経路を暗号化することで、経路途中で通信の秘密を担保するものです。つまり、その先にある店や従業員が犯罪行為をしている場合には無力になります。「SSLを採用しているから安心、安全です! 」と豪語しているようなところは要注意すべきかもしれません。

まだ多い「キーロガー」でのなりすまし

 いまだに根強く発生している手口が、インターネットカフェや会社のPCにキーロガーを仕込む手口です。IDとパスワードを入手してユーザーになりすまし、犯罪を行います。最近では多くのウイルス対策ソフトウェアでキーロガーも検知できるようになりましたが、特に会社のLAN環境に仕込む手口も横行しています。

 ネットバンキングやネット決済のサービスは、できれば自宅での環境以外では行わない方が望ましく、最低のルールといっても過言ではありません。また、自宅のPCのウイルス対策ソフトウェアを常に最新の状態にしましょう。他人が操作する場合には管理者権限を与えず、ゲストユーザーのIDで利用させるといったことが大切です。できれば、本人に目の前で利用するようにするといったきめ細かい対応が理想的でしょう。

 今回紹介した方法はごく一部分ですが、少しでもユーザーが理解を深めてインターネットを楽しんでいただけるようになってほしいと思います。

萩原栄幸

株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


過去の連載記事一覧はこちらから


過去のセキュリティニュース一覧はこちら

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -