WebサイトのSSL化と詐欺(2020年11月)
巣籠りでパソコンやスマホの出番も増えてきましたが、インターネットは安全に使えているでしょうか。
ぱそぼらんど京都のホームページでは3月に詐欺サイトをとりあげましたが、危険なサイトを見分けるポイントの第一に上がっていたのは、ぺージのアドレスがhttpsではなくhttpである、ということでした。httpsはssl化されている、つまり、データの送受信が暗号化されているので安心ということを示しています。今回とりあげるのは実はこのhttpsの問題です。
TVで紹介された「Dyson偽サイト」の件を覚えておられますか。Facebookでこの通販サイトはDyson掃除機を85%安で広告していました。ところが注文すると届いたのは偽ブランドのサングラス。でも、正規ページそっくりの偽サイトのアドレスはhttpではなくhttpsだったのです。yodyson.comは明らかにdyson.comとは別物ですが、ページの写真は一見同じにしか見えないし、アドレスにちゃんと「s」もついていました。それはセキュリティ証明付きのサイトだったのです。(注:ここで示されるyodyson.comやdyson.comのアドレスは一般化してドメインと呼んでいます)
httpは保護されていないから、個人情報の入力等は「s」がついていることを確認してからしましょう、と言うだけでは不十分になっています。消費者庁が2020年10月31日に更新した「悪質な海外ウェブサイト一覧」を見ると、最近は「s」付きが増えてきています。
なぜこのようなことになったのでしょうか。
実はSSL通信の証明書には3種類あるのです。
「DV認証」 ドメインの使用権を認証、すなわち該当のアドレスの暗号化通信を認証
「OV認証」 ドメインの使用権と、それを申請した組織が法的に実在していることを認証
「EV認証」 組織の実在性をさらに厳格に審査して認証
以下の表をご覧ください。(資料はサクラインターネット)
| ドメイン認証 認証レベル1 |
企業認証 認証レベル2 |
EV認証 認証レベル3 |
|
|---|---|---|---|
| 暗号化通信 | 〇 | 〇 | 〇 |
| ドメイン名の所有権の確認 | 〇 | 〇 | 〇 |
| 組織の実在性の確認 | ー | 〇 | 〇 |
| フィッシング詐欺対策 | ー | 〇 | 〇 |
| 発行対象者 | 個人・法人 | 法人 | 法人 |
| 信頼性 | 低 | 中 | 高 |
| おすすめのサイト・用途 | ・問い合わせフォームやキャンペーン応募など各種フォーム ・イントラネット環境 |
・個人情報の入力が必要な会員制サイト ・クレジットカード情報や個人情報の入力が必要なECサイト |
・個人情報の入力が必要な会員制サイト ・クレジットカード情報や個人情報の入力が必要なECサイト ・企業サイト、オンラインバンキング |
| 特徴 | 低コストで発行スピードが速い | 企業の実在性を証明 | 緑色のアドレスバーにより、サイトの信頼性が向上 |
認証はDV、OV、EVの順に信頼性が高くなります。DVはユーザーとサイト間の通信が安全に行われていることは保証してくれますが、サイトがインチキでないという保証はしていません。SSL化は第三者がデータを改ざんしたりするのを防ぐことはできても、詐欺サイトを見分けることはできないのです。DV認証は簡易な審査で入手できるので個人のサイトに向いており、SSL通信の普及に役立っているのですが、サイト組織が実在しているかどうかは審査対象にないことから、いわゆるなりすましの偽サイトも証明書を取得することができるのです。
これに対してOVでは申請組織が法的に存在していることを含めて認証するので、カード決済などの入力画面にも対応できます。したがって、多くの企業のホームページでは実在が確認されるOV、さらに存在性をより厳格に審査するEVが導入されていますが、高い認証には当然高い費用がかかります。個人や小規模の組織ではDVで十分というのも納得できるでしょう。ただ、サイトの安全性に関して言えば、URLに鍵マークがついていてアドレスがhttpsになっていることは、必要だけど十分ではないということも頭の隅に置いておく方がよさそうです。必要な時には鍵をクリックして証明書の内容もチェックするようにしましょう。
by Kentsan
