従来、Webブラウザーに鍵マークが表示されていれば、そのサイトは安全とされてきた。つまり、TLS▼に対応しているかどうかが重要だった。
だがその常識は崩れ去った。セキュリティーベンダーの米フィッシュラブズによれば、フィッシングサイトの半数はTLSで通信するというのだ。TLSはWebなどの通信を安全にする技術(プロトコル)。TLSを使ったWebの通信はHTTPS▼と呼ばれ、URLは「https://」で始まる。
フィッシングサイトとは、フィッシング詐欺に使われる偽サイトを指す。フィッシング詐欺は、有名企業などをかたる偽のメールでユーザーをフィッシングサイトに誘導し、パスワードやクレジットカード番号といった個人情報を入力させて盗むサイバー犯罪である(図1)。
フィッシュラブズによると、フィッシングサイト全体に占めるTLS対応サイトの割合は、2017年第3四半期は25%程度だったが1年で倍増。2018年第3四半期には49%になったという(図2)。
実際、フィッシングサイトの情報を集めているWebサイトで調べたところ、TLSに対応しているフィッシングサイトはとても多かった。そのうちのいくつかに、実際にアクセスしてみた(図3)。
筆者が調べた限りでは、Office 365などの企業向けサービスに見せかけるフィッシングサイトが多いように感じた。そうしたフィッシングサイトで企業ユーザーのメールアドレスやパスワードを収集し、ビジネスメール詐欺▼などに悪用している可能性が高い。
以上のように、もはや鍵マークの有無だけでは、信頼に値するWebサイトかどうかを判断できない。常時TLS▼が当たり前となっている現在では、鍵マークは表示されて当たり前。そのうえで、WebサイトのURLやサーバー証明書の内容などから、本物かどうかを判断する必要がある。
筆者が見たところ、TLSに対応しているフィッシングサイトのほとんどは、本物とは大きく異なるURLを使っていた。だが、中には本物と似たドメイン名を取得しているフィッシングサイトもある。
