SSLを過信していませんか――ネットバンキングに潜む誤解とは:ハギーが解説 目からウロコの情報セキュリティ事情(2/2 ページ)
24時間いつでも手軽に利用できるオンラインバンキングや決済サービス。金銭をやり取りするこれらのサービスは犯罪者にとって格好の標的なだけに、利用者には正しいセキュリティ対策への理解が欠かせない。
「SSL」の意味を知らないと……
ここでSSL通信にまつわる嘘のような本当の話を紹介しましょう。
Aさん 「萩原さん、ちょっと聞いてください! このクレジットカードの利用明細ですが、どう見てもおかしいのです」
萩原 「何がどうおかしいのですか? 何か早とちりでもしていませんか? 」
Aさん 「この日は札幌に出張で出かけていてずっと仕事をしていたのに、東京の秋葉原でビデオカメラを買ったことになっているのです。ビデオカメラは4年前に購入して押入れにしまったきりなのに! 絶対に怪しいですよ! 」
ここまで聞いて、わたしは少し心配になったので、Aさんと前月分の利用明細も確認してみました。すると、このほかにもAさんが覚えていない怪しげな点がいくつも見つかったのです。その中には、海外の店舗と思われる明細がありました。
Aさん 「あ、それは関係ないですよ。2カ月ほど前に格安ツアーでマレーシアに行った友人がすごく安い通信販売サイトの存在を現地の人から聞いたのです。わたしもその店のサイトにアクセスしてみたら、本当に安くてびっくりしてしましたよ。現地価格の半値以下で買えるし、萩原さんが言っていたSSLのマークもあったので、安心して利用できましたよ」
わたしはこの話を聞いて目が点になってしまいました。実はこのようなケースが極めて危ないのです。こういった店のサービスの一部には、商品売買の利益よりも、一人でも多くの顧客を呼び寄せて、クレジットカード情報を入手することが狙いになるのです。拠点を転々と変えるケースもあれば、クレジットカード会社を信用させるために店構えを立派に構えているケースもあります。つまり、店舗全体がいわばスキミング詐欺の会社であり、残念ながら対抗手段はこのような店舗で物品を買わないことしかありません……。
Aさんの場合、どうやらこの店でクレジットカード情報がコピーされ、日本に滞在している仲間に伝え、Aさんになりすまして品物を買いあさったようです。
Aさん 「そんなことってあるのですか、SSLは安全なのになぜこんな被害になるのか、信じられません! 」
萩原 「SSLの意味をちゃんと知っていますか? SSLはインターネット上の通信を暗号化することで、その経路で盗聴されたとしても内容が読み取れないという意味での安心なのですよ。店にデータが届いた瞬間に復号化されて誰でも読み取れるので、店で悪さをされたらどうしようもないのです! 」
Aさん 「うー。そんなー……」
私も不安になって周囲のPC初心者に直接聞いてみたところ、何と3割ほど人がSSLの意味を誤って理解していました。まだ啓蒙活動がとても重要であると再認識したほどです。SSLは、インターネットの商行為全体に安心を提供するものではりません。単にネットワークの経路を暗号化することで、経路途中で通信の秘密を担保するものです。つまり、その先にある店や従業員が犯罪行為をしている場合には無力になります。「SSLを採用しているから安心、安全です! 」と豪語しているようなところは要注意すべきかもしれません。
まだ多い「キーロガー」でのなりすまし
いまだに根強く発生している手口が、インターネットカフェや会社のPCにキーロガーを仕込む手口です。IDとパスワードを入手してユーザーになりすまし、犯罪を行います。最近では多くのウイルス対策ソフトウェアでキーロガーも検知できるようになりましたが、特に会社のLAN環境に仕込む手口も横行しています。
ネットバンキングやネット決済のサービスは、できれば自宅での環境以外では行わない方が望ましく、最低のルールといっても過言ではありません。また、自宅のPCのウイルス対策ソフトウェアを常に最新の状態にしましょう。他人が操作する場合には管理者権限を与えず、ゲストユーザーのIDで利用させるといったことが大切です。できれば、本人に目の前で利用するようにするといったきめ細かい対応が理想的でしょう。
今回紹介した方法はごく一部分ですが、少しでもユーザーが理解を深めてインターネットを楽しんでいただけるようになってほしいと思います。
萩原栄幸
株式会社ピーシーキッド上席研究員、一般社団法人「情報セキュリティ相談センター」事務局長、コンピュータソフトウェア著作権協会技術顧問、日本セキュリティ・マネジメント学会理事、ネット情報セキュリティ研究会技術調査部長、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格した実績も持つ。情報セキュリティに関する講演や執筆を精力的にこなし、情報セキュリティに悩む個人や企業からの相談を受ける「情報セキュリティ110番」を運営。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
過去の連載記事一覧はこちらから
関連記事
- 知っているPCの脅威は「フィッシング」や「ワンクリック詐欺」
IPAは、一般のPC利用者を対象に情報セキュリティの意識調査を実施。詐欺行為やスパムなどに対する認知度が高いことが判明した。 - 詐欺の確信犯とそうではない人――ネットオークション利用を再チェック
インターネットオークションでは、意図的に金銭搾取を狙う詐欺行為に警戒が必要だ。しかし、中には詐欺を間違われる行為もある。購入者と出品者が注意すべき点を再確認してみよう。 - 忘れたデータが山盛り――中古PCからの情報漏えい
PCに保存したデータを「消した」と思っても実際には消えていない。中古で売買されるPCには残されたデータ情報が山盛りだ。ユーザーの認知が広まりつつあるとはいえ、今一度中古PCに潜む危険を再確認してみよう。 - データは消えない――メモリカードやUSBメモリに潜む落とし穴
メモリカードやUSBメモリに記録したデータを「消した」と思っても、完全には消えずに復元できてしまう。第三者に機密情報が知られてしまう恐れがあるのだ。 - オークションとバンキングが標的――統計から見るサイバー犯罪の最新動向
情報セキュリティの専門家・萩原栄幸氏が身近に潜むセキュリティの危険を解説する。第1回目は不正アクセスやネットサービスに絡むサイバー犯罪の最新事情だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.