「オレオレ証明書」にご用心? あなたのPCを守る認証システムを考える:クライアントセキュリティ大作戦(4/4 ページ)
インターネットはもはや生活に密着しているといっても過言ではなく、当然、名前やカード番号など、個人情報を入力する機会も多くなっている。そこで安全なデータのやりとりに欠かせない、各種認証システムを紹介する。
最後は人の目がモノを言う
SSLを行うサイトは正しいサイト証明書を持つ必要があり、フィッシングサイトは本物と同じ証明書は持てないため、警告が出ずに接続される正しいSSLならば安心という風潮があった。だが、これは現在では必ずしも正しくない上に、その前提が崩れかけている。
以前のフィッシングサイトは、まったく関係ないサイトを本物と同じサイトのアドレスバーに見せかけるツールバー偽装で行っていた。だが、これはWebブラウザのセキュリティアップデートで対策されており、新たな手段が必要になってきている。
そこで登場したのが、似たような名前のサイトを作りそこに誘導する手法だ。たとえば以前ならば「『https://www.ITmedia.co.jp/security/』にアクセスを」というHTMLメールを送り、HTMLのリンク先記述を実際には全然違うサイトに誘導して偽装を行っていた。だが、最近は「『https://www.ITmedia-security.com/』にアクセスを」というように紛らわしいドメインを取得して「誤解」させる手段が取られている。
また、サーバ証明書を発行する団体の中には審査が甘いところもある。このようなところに証明書の発行を依頼すれば、SSLで保護されている「安全そうに見える」フィッシングサイトができてしまう。サーバ証明書が証明するのはあくまで「そのドメイン名が正当なものであり、なりすましされていない」ことであり、運営しているのが信頼できる団体かどうかではない。従来はサーバ証明書を取得するための審査が難しかったり、時間が掛かるというリスクがあったため、サーバ証明書を用意しているフィッシングサイトがなかっただけだ。
もしあなたが企業のサイトを運営しており、自社サイトが正当なものであることを強調したいなら、自社サイトに電子証明の正当性を訴えるページを用意するとよい。これはSSLだから安全という記載ではなく、
- 暗号化のビット数
- 暗号化を行っているサーバのドメイン名
- サーバ証明書の認証局名称と運用ポリシー
など、具体的に表記するとよいだろう。トップページからのリンクでサイトの電子証明書の確認方法と共に使用しているサイトドメイン名を明記したポップアップを用意している。
SSLは個人情報を受け取る可能性のあるWebサイトを運用する場合に必須のものになっている。SSLを正しく運用するためにも、サーバ証明書の扱いはしっかりとするようにしよう。
このコンテンツは、サーバセレクト2006年5月号に掲載されたものを再編集したものです。
関連記事
- Windows Vista導入前の脆弱性対策
企業の多くがクライアントOSとして利用されているのは、Windows XP。そして今後はVistaが主流になっていくだろう。しかし企業によっては、全ユーザーが「管理者」として利用しているケースも多いという現実がある。情報漏えい対策が話題になっている今、あなたの会社は大丈夫? - ポケモン生まれが最強でした――パスワード設定の虎の巻
クライアントPCのパスワードは、不正アクセスから情報を守る命綱だ。とはいえ、覚えやすく見破られにくいパスワードとは、どのようなものだろうか。いくつかのヒントを紹介しよう――。 - Webサイト利用者を詐欺から守るポイント
フィッシングによる被害を防ぐため、Webサイトにアクセスする際に利用者が注意すべき点と、Webサイトを構築する際の留意点を説明していこう。 - USBメモリにはマルウェアが?――記録メディアに潜む脆弱性
莫大な投資をして堅牢なファイアウォールやマルウェア対策、IDS/IPSのシステムを導入したのに、内部ネットワークにマルウェアが蔓延。調べてみたら、クライアントからの侵入が原因だったということは、珍しい話ではない――。 - MS Office標準のセキュリティ機能を使いこなす
MS Officeアプリケーションでは企業機密情報を扱う場面も少なくない。そこで使いこなしたいのが、MS Officeアプリケーションが標準で備えるセキュリティ機能。クライアント側だけでできる簡単な情報漏えい防止策として活用してほしい。 - PCセキュリティの処方箋――検疫ネットワーク活用のススメ
企業ネットワークで問題になるのが、内部に接続されたクライアントPCからウイルスに感染してしまうこと。そこで処方箋として登場するのが、検疫ネットワークである。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.