PR

URLや企業名の確認を

 とはいえ、ここまで巧妙なフィッシングサイトはまれである。多くはURLをきちんと確認すれば、偽物だと分かる。加えて、Webブラウザーの多くはフィッシング対策機能を備え、既知のフィッシングサイトにアクセスすると警告を発してくれる(図5)。

図5●Webブラウザーが表示する警告の例
図5●Webブラウザーが表示する警告の例
写真はChromeの例。ブラックリストに登録されているWebサイトにアクセスしようとすると画面を赤色にして警告する。URLがhttpsで始まる場合、httpsの上に取り消し線が表示される。
[画像のクリックで拡大表示]

 この記事で紹介したフィッシングサイトについても、Webサイトの公開直後には警告が表示されなかったが、数時間後にはいずれもWebブラウザーが警告を出すようになった。

 また、サーバー証明書にEV SSL証明書を使っているWebサイトは安全だと考えてよいだろう。EV SSL証明書とは、証明書の発行先である企業や組織の実在などを、認証局が厳格に審査する証明書。EV SSL証明書を使うWebサイトにアクセスすると、Webブラウザーの多くは鍵マークの脇に会社名などを表示する(図6)。

図6●EV SSL証明書を利用しているWebサイトの例
図6●EV SSL証明書を利用しているWebサイトの例
Webブラウザーの多くは、鍵マークの脇に、証明書が発行された企業・組織の名前や国・地域名を表示する。
[画像のクリックで拡大表示]

 サーバー証明書には、EV SSL証明書のほかに、ドメイン認証(DV)証明書と組織認証(OV)証明書がある。筆者が調べた限りでは、TLSを利用しているフィッシングサイトのほとんどがDV証明書を使っていた。DV証明書は申請者が実在しているかどうか調べないので、安価あるいは無料で利用できる。中でも、米国の非営利団体組織ISRGが無料で提供する「Let's Encrypt」のサーバー証明書を使っているフィッシングサイトが多かった。

▼TLS
Transport Layer Securityの略。
▼HTTPS
TLSを利用したHTTP。HTTP over TLSや、単にTLSと呼ぶ場合もある。
▼ビジネスメール詐欺
取引先などをかたった偽のメールを企業や組織の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のこと。
▼常時TLS
すべての通信にTLSを使用して暗号化すること。
▼IDN
nternationalized Domain Nameの略。
▼ASCII文字
半角の英数字や記号、空白、制御コードなどのASCIIコードで表現される文字。
▼EV SSL
EVは、Extended Validationの略。
▼DV
Domain Validationの略。DV証明書は、発行を申請したユーザーや組織が、そのドメイン名の所有者であることだけを確認して発行する。つまり、実在確認はしない。
▼OV
Organization Validationの略。OV証明書は、EV SSL証明書と同様に、発行を申請した企業や組織が実在していることを確認する。だが、EV SSL証明書ほどは厳格に確認しない。
▼ISRG
Internet Security Research Groupの略。
▼Let's Encrypt
Let's Encryptの公式サイトのURLは、https://letsencrypt.org/。