HTTPSが信頼できるとは限らない 増え続けるHTTPSを使ったフィッシング詐欺

フィッシング対策協議会から証明書の種類を確認する方法が説明された。最近のWebブラウザはEV（Extendit Validation）証明書であるかどうかの確認ができず、信頼度の確認が困難だ。増加するフィッシング詐欺の脅威へ対処するために、サーバ証明書の種類を確認する方法を把握しよう。

[後藤大地，有限会社オングス]

　「通信の暗号化」は安全にインターネットを利用する上で欠かせない。しかし、暗号化された通信が全て安全とは限らない。サイバー犯罪グループもWebサイト証明書を取得でき、HTTPS通信であっても通信先が安全とは限らない。

　こうした場合に利用すべきは「証明書の種類を確認」することだ。疑わしきWebサーバがあれば証明書の種類を確認し、その通信が信頼に足るものかどうかを判断すると良いだろう。一般的に、簡単に取得できるドメイン認証型証明書にはリスクがあると考えられており、EV証明書は安全性が高いとされる。

フィッシング対策協議会「Webサイトのサーバ証明書種類の確認方法」のWebページトップ（出典：フィッシング対策協議会）

Webサイト証明書の種類を確認する方法

　フィッシング対策協議会は2022年9月6日に「フィッシング対策協議会　Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | Webサイトのサーバ証明書種類の確認方法（2022/09/06）」を発表し、証明書の種類を確認する方法として次の2つのサービスを取り上げた。