セキュリティ企業の米シマンテックは2011年2月25日、SSL(Secure Sockets Layer)を使用したフィッシング詐欺サイトが確認されたとして注意を呼びかけた。偽造したデジタル証明書(サーバー証明書)を使っているため、アクセスするとWebブラウザーは警告を表示する。
今回確認されたのは、クレジットカード会社のWebサイトに見せかけた詐欺サイト(図1)。フランス語のサイトで、スイスのユーザーをターゲットにしているという。メールなどでユーザーを詐欺サイトに誘導し、個人情報やクレジットカード番号などを入力させて盗む。
今回報告されたフィッシング詐欺の特徴は、SSLを使っていること。シマンテックによれば、SSLを使ったフィッシング詐欺サイトは珍しいという。アクセスすると、アドレスバーには「https://」で始まるURLが表示される。ユーザーに本物のサイトだと思わせることが目的だ。
ただし、同サイトにアクセスすると、Webブラウザーは警告を表示するので用心深いユーザーならだまされないだろう。同サイトでは偽造した証明書を使っているためだ。有効期限も2007年で、既に失効している。警告を無視したユーザーだけが被害に遭うことになる。
今回のような詐欺の被害に遭わないためには、Webブラウザーの警告を無視しないことが重要。SSLを使っていたとしても、警告が表示された場合には、そのサイトを信用してはいけない。
そのほかシマンテックでは、「メール中の怪しいリンクはクリックしない」「メールで個人情報を聞かれても教えない」「ポップアップウインドウには個人情報を入力しない」「ソフトウエアを頻繁にアップデートする」ことなどを対策として挙げている。
