もうSSLの有無では判断できない!? 本物のSSL証明書を持つフィッシング・サイトが出現
2006年02月15日 08:30
【IT Pro】の報によるとアメリカの【SANS Institute】や【Websense】は2月13日、実在するサイトを連想するような紛らわしいドメイン名を持ち、かつそのドメイン名に対して正式に発行されたSSL用サーバー証明書(デジタル証明書)を持つニセサイトが確認されたとして注意を呼びかけた。
スポンサードリンク
記事によれば確認されたニセサイトは、本物のサイトと間違える可能性が高いURLで、かつそのニセサイトがそのURLであることを証明するための正式なCA(認証局)発行のSSL証明書を取得していた。ブラウザは警告を出すことなく、SSL通信であることを表す鍵マークを表示する。
これまでフィッシング詐欺(本物のサイトに似せたURLや構成を持つサイトへ巧みにアクセスさせて、本物のサイトで入力するようなキャッシュカード番号・口座番号・暗証番号などを盗み取り、現金などを詐取する犯罪)であるかどうかを判断する際に、ブラウザの右下に表示される鍵のマーク(SSL付であることをあらわすもの)の有無をチェックすることが必要とされていた。重要なデータをやりとりするサイトでは大抵においてSSLが導入されているし、フィッシングサイトではSSLは導入されているはずなどなかったからだ。逆にいえば「鍵マークがあれば偽物ではない」という一種の判断基準があった。
だが今回のSSL付フィッシングサイトの発覚で、その「判断基準」すら信用ならなくなってしまったことになる。もちろん記事では、そのような(不当行為・違法行為を行うサイト)へ証明書を発行するベンダーが問題であると厳しく糾弾しているという。
ドメイン名がまったく別物ならともかく、似たようなものである場合(今回もそうだった)、何を信用すればよいのだろう。頭を抱えてしまう事態になりつつあることだけは確かなようだ。
※SSL:Secure Socket Layerの略で、ネット上で情報を暗号化して送受信する仕組み。各種秘匿したい情報を安全に扱うことができる。
スポンサードリンク
ツイート