セキュリティガイドフィッシング詐欺からあなたの顧客を守る「SSLサーバー証明書」

よく耳にする「フィッシング詐欺」とはどんな犯罪なのでしょうか?
その内容を理解し「フィッシング詐欺」の危険からあなたの顧客を守りましょう。

「フィッシング詐欺」とは?

フィッシング詐欺とは、実在する銀行やクレジットカード会社になりすまして利用者からIDやパスワード、クレジットカード番号などの個人情報を盗み取るインターネット上の犯罪です。
またこのような行為を行う者を「フィッシャー」と呼びます。

日本国内でも被害が急増しており、実際にクレジットカード番号をフィッシング詐欺の手口により取得され、現金が引き出されるなどの被害も報告されています。
その被害額は年間約29億円強(*)にも上ります。

 フィッシングレポート 2015【フィッシング対策協議会】より

代表的なフィッシング詐欺の手口には以下のようなものが挙げられます。

1メールでフィッシングサイト(偽物のホームページ)に誘導

実在する銀行やクレジットカード会社になりすまして、不特定多数にメールを送り、本物そっくりに作った偽物のホームページへアクセスさせます。
そこで本人確認などの理由で、パスワードやクレジットカード番号、口座番号などを入力させ、その情報を盗み取ります。

2ホームページのアドレス(URL)を本物そっくりにみせかけて誘導

メールや掲示板などで表示するホームページのアドレス(URL)を、実在する銀行やクレジットカード会社に見間違えるような内容にして偽物のホームページへアクセスさせます。
そこで本人確認などの理由で、パスワードやクレジットカード番号、口座番号などを入力させ、その情報を盗み取ります。

例1) 見間違えるURLに置き換え

見間違えるURLに置き換え

※ 数字の「01」をアルファベットの「ol(オーエル)」に置き換え

例2) URLの一部を利用

URLの一部を利用

※ 正規URLを似せたURLを利用

最近では、パソコンだけでなくスマートフォンでも同様にメールからフィッシングサイトに誘導させる手口、オンラインゲームを騙る手口、偽物のスマートフォンアプリを利用させる手口なども増えています。

このようにどんどん手口が巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えてきています。

フィッシング詐欺による企業のリスクと対策

フィッシング詐欺はエンドユーザーだけでなく、企業にも大きな脅威です。
フィッシング詐欺により汚されたブランドイメージの回復にかかる費用と時間は膨大です。
更にこういった傾向が続けば、オンライン取引全般への不信につながり、ネットビジネスの発展を妨げる大きな脅威です。

フィッシング詐欺の被害の大きい米国では、企業はすでに膨大な資金を投じてフィッシングで受けた被害の回復に務めています。
企業として、サービス利用促進、顧客満足度の観点から、利用者の不安を軽減する対策を行うことが重要です。

ではフィッシング詐欺への対策として企業ができることにはどのようなことがあるのでしょうか?

その一つは、「SSLサーバー証明書」の導入です。
SSLサーバー証明書といえば、「ホームページの暗号化通信(https://~)」に必要なものというイメージを持っている方が多いと思いますが、実はそれだけではなく悪意のある第三者が偽のサイトを作る「なりすまし」を防止するという役割も担っています。

「SSLサーバー証明書」は、サーバーに組み込んで利用する電子証明書で、「暗号化通信に必要なサーバーの公開鍵」「サーバーの運営者情報」「サーバー証明書を発行した認証機関の署名」が含まれています。
この情報を用いれば、”本物のホームページ”と”偽物のホームページ”を判別することができます。

ユーザーは、ブラウザのアドレスバーに記載されているURLとSSLサーバー証明書に記載されているURLが一致する事、サーバー証明書に記載された運営者情報に間違いが無い事を確認する事で、本物のサイトにアクセスしていることが判断できます。
SSLサーバー証明書を導入していればアドレスバー表示に鍵マークが付きますので、サイトの信頼性が高まります。(※同じ証明書でも、ブラウザによって見え方が異なります。詳細はこちら。)

SSLサーバー証明書の表示例

信頼できないサーバー証明書もある!?

SSLサーバー証明書の導入は、”本物のホームページ”と”偽物のホームページ”を判別するために有効な手段ですが、悪意のある第三者が正規のサイトと見間違えるようなドメイン名(URL)で偽物のホームページを作り、そのサイトに対してSSLサーバー証明書を取得した場合どうなるでしょうか。
この場合、ブラウザのアドレスバーに記載されているURLとSSLサーバー証明書に記載されているURLが一致するため、ユーザーは偽サイトということに気づきにくくなります。

SSLサーバー証明書は、パソコン1台あれば、誰にでも発行できてしまいます。
もちろん自分自身で、自分自身に証明書を発行することも可能です。
また、メールのやりとりだけでサーバー証明書を発行する認証機関もあります。
そのためインターネットには、実在しない企業に発行されたサーバー証明書が多く存在します。

そこで重要になるのは、「SSLサーバー証明書の発行者(認証局)が信頼できるか」という点です。
つまり、「誰に対して発行されるのか」「発行される相手をどうやって確認したのか」「不正な手段で発行されたりしないか」など、証明書を発行するためのポリシーを信頼できるかどうかです。

それぞれの認証局が独自に定めた認証方法では、認証局自身の信頼性が問われるため、2007年には全世界統一の認証基準が定められた新しいサーバー証明書(EV SSL証明書)も登場しています。
認証局が、そのEV SSL証明書を発行する為には、必ずその認証基準に基づいた実在確認を行わなくてはならないので、認証局によって不正に発行されるといった心配がありません。
そのためEV SSL証明書を導入しているWEBサイトは、高い信頼性があるといえます。

フィッシング対策には、SSLサーバー証明書そのものの信頼性、つまりはSSLサーバー証明書を発行する第三者認証機関(認証局)の信頼性が重要です。

第三者認証機関(認証局)の信頼性

共有SSL?独自SSL?

レンタルサーバーなどでは“共有SSL”というサービスがあります。
これは、同じサーバーに登録しているサイト運営者同士でSSLサーバー証明書を共有するサービスです。
このサービスで共有するSSLサーバー証明書は、共有SSLを提供するサービス会社のものであって、サイト運営者の証明ではありません。
したがって、ユーザーに対してサイト運営者の実在性の証明をすることはできません。

ユーザーに安心してサイトを利用してもらうには、信頼できる第三者機関が認証し、かつ自社専用(独自ドメイン名)のサーバー証明書を導入することが必要です。

Zenlogic おすすめセキュリティ対策

あなたの顧客を守る!「常時SSL」を実現するSSLサーバー証明書。
無料のSSLサーバー証明書をはじめとして、用途や予算に応じて幅広いラインナップから選択いただけます。

■ DV(ドメイン認証)

ジオトラスト クイックSSLプレミアム【有料オプション】

オンライン手続きで最短数分で発行が可能!ドメイン認証型でもサイトシールがご利用いただけます。

■ OV(企業認証)

ジオトラスト トゥルービジネスID【有料オプション】

WEBサイトの運営者の実在性を証明し、訪問者が安心して利用できる信頼のWEBサイトを実現。法人はもちろん個人事業者の方もお申込み可能。

■EV

ジオトラスト トゥルービジネスID with EV【有料オプション】

企業の活動実態など全世界統一の厳格な認証基準に基づき認証・発行され、より安全性の高い証明書。ECサイトなどに最適。

あなたのWebサイトに最適なSSLサーバー証明書をご提案します。

SSLサーバー証明書 選び方ガイド

サポート

ご利用中のお客様



Pagetop