全828文字

 万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。

図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
[画像のクリックで拡大表示]

 過去にはアドレス欄の鍵マークが重要とされたが、最近の偽サイトの大半は鍵マークがあるので通用しない(図32)。鍵マークはSSL証明書を取得したサーバーを示すが、身元証明が不要で簡単に証明書を発行できるサービスもあるからだ。

図32 SSLによる通信の暗号化に対応するサーバーには鍵マークが付く(左)。しかし、最近の偽サイトは鍵マークが付くことが大半で、マークの有無だけで判断するのは厳禁(中央)。大手企業で鍵マークが付かないことはまずあり得ないので、なければ偽サイトだ(右)
図32 SSLによる通信の暗号化に対応するサーバーには鍵マークが付く(左)。しかし、最近の偽サイトは鍵マークが付くことが大半で、マークの有無だけで判断するのは厳禁(中央)。大手企業で鍵マークが付かないことはまずあり得ないので、なければ偽サイトだ(右)
[画像のクリックで拡大表示]

 とはいえ、見抜くヒントはある。証明書には信頼度の高い順にEV、OV、DVという3種類がある(図33)。このうち詐欺で悪用されるのがDV証明書。「Let's Encrypt」という認証局では無料で発行しており、フィッシング対策協議会によれば、一部の例外を除いて大半のフィッシングサイトでこの証明書が利用されているという。大手企業が利用するケースは考えにくい。ブラウザーの証明書ビューアーで、発行者が「Let's Encrypt」の場合は用心しよう(図34)。なお、企業名や組織名が図35の画面で表示される場合は、最も信頼性が高いEV証明書だ。

図33 SSL証明書は基本的に3種類ある。特に「DV証明書」は無料かつ簡単に取得できるものもあるため偽サイトでも採用されており、信頼性が低い。一方、OV証明書やEV証明書であれば信頼性が高い
図33 SSL証明書は基本的に3種類ある。特に「DV証明書」は無料かつ簡単に取得できるものもあるため偽サイトでも採用されており、信頼性が低い。一方、OV証明書やEV証明書であれば信頼性が高い
[画像のクリックで拡大表示]
図34 三井住友カードの偽サイト。URL欄の鍵マークを押し、「接続がセキュリティで保護されています」を押す(1)(2)。次の画面で右上のアイコンを押す(3)。証明書ビューアーで「発行者」の「組織」欄が「Let's Encrypt」なら無料のDV証明書(4)。画面はEdgeだがChromeでもおおむね同様だ
図34 三井住友カードの偽サイト。URL欄の鍵マークを押し、「接続がセキュリティで保護されています」を押す(1)(2)。次の画面で右上のアイコンを押す(3)。証明書ビューアーで「発行者」の「組織」欄が「Let's Encrypt」なら無料のDV証明書(4)。画面はEdgeだがChromeでもおおむね同様だ
[画像のクリックで拡大表示]
図35 画面は正規サイト。図34の中央の画面で組織名が表示されるのでEV証明書を取得していることがわかる
図35 画面は正規サイト。図34の中央の画面で組織名が表示されるのでEV証明書を取得していることがわかる
[画像のクリックで拡大表示]