PR
(写真:Getty Images)
(写真:Getty Images)
[画像のクリックで拡大表示]

 従来、Webブラウザーに鍵マークが表示されていれば、そのサイトは安全とされてきた。つまり、TLSに対応しているかどうかが重要だった。

 だがその常識は崩れ去った。セキュリティーベンダーの米フィッシュラブズによれば、フィッシングサイトの半数はTLSで通信するというのだ。TLSはWebなどの通信を安全にする技術(プロトコル)。TLSを使ったWebの通信はHTTPSと呼ばれ、URLは「https://」で始まる。

 フィッシングサイトとは、フィッシング詐欺に使われる偽サイトを指す。フィッシング詐欺は、有名企業などをかたる偽のメールでユーザーをフィッシングサイトに誘導し、パスワードやクレジットカード番号といった個人情報を入力させて盗むサイバー犯罪である(図1)。

図1●フィッシング詐欺の概要
図1●フィッシング詐欺の概要
攻撃者は、有名企業などをかたる偽のメールでユーザーをフィッシングサイト(偽サイト)に誘導し、パスワードやクレジットカード番号などを入力させて盗む。
[画像のクリックで拡大表示]

 フィッシュラブズによると、フィッシングサイト全体に占めるTLS対応サイトの割合は、2017年第3四半期は25%程度だったが1年で倍増。2018年第3四半期には49%になったという(図2)。

図2●TLSに対応したフィッシングサイトの割合の推移
図2●TLSに対応したフィッシングサイトの割合の推移
セキュリティーベンダーの米フィッシュラブズの調査データに基づく。2017年第3四半期は25%程度だったが、2018年第3四半期には49%になった。
[画像のクリックで拡大表示]

 実際、フィッシングサイトの情報を集めているWebサイトで調べたところ、TLSに対応しているフィッシングサイトはとても多かった。そのうちのいくつかに、実際にアクセスしてみた(図3)。

図3●TLSに対応したフィッシングサイトの例
図3●TLSに対応したフィッシングサイトの例
筆者が実際にアクセスしたTLS対応フィッシングサイト。いずれも偽物だがTLSに対応しており、鍵マークが表示されている。
[画像のクリックで拡大表示]

 筆者が調べた限りでは、Office 365などの企業向けサービスに見せかけるフィッシングサイトが多いように感じた。そうしたフィッシングサイトで企業ユーザーのメールアドレスやパスワードを収集し、ビジネスメール詐欺などに悪用している可能性が高い。

 以上のように、もはや鍵マークの有無だけでは、信頼に値するWebサイトかどうかを判断できない。常時TLSが当たり前となっている現在では、鍵マークは表示されて当たり前。そのうえで、WebサイトのURLやサーバー証明書の内容などから、本物かどうかを判断する必要がある。

 筆者が見たところ、TLSに対応しているフィッシングサイトのほとんどは、本物とは大きく異なるURLを使っていた。だが、中には本物と似たドメイン名を取得しているフィッシングサイトもある。

この記事は有料会員限定です

「日経NETWORK」定期購読者もログインしてお読みいただけます。

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

日経電子版セット今なら2カ月無料