信頼できるウェブを簡単に識別する方法

呉井嬢次(Johji Kurei) 2007-06-30 21:24:00

 日本の銀行、証券会社のウェブとソックリなホームページがヨーロッパを中心にチラホラ作成されている。これは顧客を騙すために作られたウェブで、主にIDとパスワードを入手することを目的に作成されている。偽モノと本物のウェブと区別する方法を紹介しよう。

見た目には区別することはできないワケ

 偽モノは、本物にソックリにできている。ブラウザに表示されるURLで区別できる場合もあるが、ちょっとしたテクニックを使えば、本物のウェブのURLを表示させて、ソックリな偽モノのウェブを表示させることができる。犯罪を助長するので、そのテクニックは省略する。

 私はあるネットワーク環境で実験を行ったが、多くの利用者は、9割がブラウザで表示されているURLを信用していた。残りの利用者は、多少情報セキュリティに詳しい者になるが、ブラウザに小さく表示される鍵マークになっていることを確認していた。

 だが、鍵マークが表示された、本物のホームページであるとは限らない。この鍵マークは、ブラウザとウェブとの通信間を暗号化していることを表記しているに過ぎない(おおざっぱに言えば)。なぜなら、偽サイトでもしかるべき手続きをとれば、鍵マークを表示させることができるからだ。

一歩踏み込みが大切だが、誰もやらない

 信頼できるウェブであることを確認するには、鍵マークになったことを確認するだけでなく、もう一歩、電子的な証明をどこが行っているのか確認する必要がある。そこまで行って、初めて、本モノのウェブであると考えていい。

 ところが、実験した結果、情報セキュリティに精通している人でも、毎回ネット銀行、証券にアクセスする度に、そこまでチェックしている人はいなかった。よって、誰でも偽サイトに引っかかる可能性がある
リスクがあることを知っておくことが大切だろう。

損害は利用者にあり

 偽モノのウェブにアクセスし、IDとパスワードを入力すると、悪用されて利用者が被害に遭う。その際の損害は、利用者が負担することになると考えていい。もし全ての損害を金融機関がもってくれたら、利用者は安心できると考えたら大間違いだ。

被害の代わりに支払うお金は、結局は利用者に回ってくる。被害を受けていない利用者の手数料や提携しているクレジット会社の費用が高くなるからだ。

新たな試み

 信頼できるサイトである証として、新たな試みが浸透しつつある。それは、ホームページに信頼のマークを表示させる方法ではない。信頼を表示させる画像なんて簡単にコピーされてしまうことは、偽サイトで証明されている。利用者にとって安心の証にはならない。

信頼できるURLはグリーンになる

 ブラウザがInternet Explore Ver.7であれば、ソニー銀行にアクセスしてみるといい。URLがグリーンになる。これはEV SSLサーバ証明書を使っているからだ。通常の鍵マーク(SSL)との違いは、より厳しい基準で証明書を発行している。これにより、簡単に偽サイトが真似することを防いでくれている。日本は
これから普及していくが、米国では上場企業が次々導入している。

 日本では、省庁のホームページでも鍵マーク(SSL)すら導入していないサイトが多く、2世代セキュリティ対策が遅れていると言っていい。これからは、利用者が気づき、金融機関を選ぶようになるだろう。しかし、利用者が選べないのは、自治体、省庁といったサービスだ。

 もし、電子商取引が活発になり、自治体、省庁も活発になり、大金が動くようになると、偽サイトは
金融機関から、自治体、省庁に移っていく予感がする。まず、利用者は、EV SSLサーバ証明書に対応したブラウザを使うことをお勧めしたい。そして企業は、SSLからEV SSLサーバ証明書に変更し、顧客の安全に努めてはいかがだろうか。個人情報マークのロゴを偽サイトにコピーされて、顧客が被害に遭うことは避けることができる筈だ。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR