トピックス 2020.02.25 「https」記事への訂正と補足のお知らせ

上記の記事内で「多くのフィッシングサイトやなりすましサイトではこの証明書を発行することができずにHTTPS通信を使っていないことが多い」という記載を行っておりましたが、最近では、証明書を取得してHTTPS通信を利用したサイバー犯罪も増えてきています。

背景としては、グーグルなどでHTTPSでない通信を危険な通信とする動きがあり、通信種別はHTTPSであることが必須となってきている流れを受けて、簡単にSSLサーバ証明書を取得できるように無料で証明書を発行するサービスが登場しています。

代表的なサービスである「Let's Encrypt」は2016年よりサービスを開始していますが、無料の証明書が発行可能となったことで、なりすましサイトやフィッシングサイトでもHTTPSを利用していることが多々あるようなりました。

2019年12月、2020年1月に掲載されたフィッシング対策協議会の緊急情報を見ても「https」で始まるURLを利用したフィッシングが複数件発生しています。

ここまでご説明したように、最近ではHTTPSを利用しているだけでは安全なサイトかどうかは判断できない状況となっていますので、本来のWebサイトであるかどうかを確認する方法をいくつかご紹介します。

HTTPSを利用していることに加えて、なおかつURLのドメイン名が正しいものであるかどうかの確認を行いましょう。

●      URLの例（以前の記事の場合）
https://securitynews.so-net.ne.jp/topics/sec_20051.html

●      ドメインの例
securitynews.so-net.ne.jp

このドメイン名を事前に把握しておくことができれば、あなたがアクセスしようとしているサイトが利用しようとしているサイトであるかどうかを確認することができます。

SSLサーバー証明書がEV証明書（エクステンデド・バリデーション）である場合、一定の信頼を置くことができます。

ブラウザにより動作は異なりますが、EV証明書を利用しているサイトの場合、ブラウザのURL欄が緑色に変化するなどで確認することができます。

さらにEV証明書を利用している場合は、ブラウザのURLの表示近辺にサイト運営者の組織名が表示されるため、この組織名が利用しようとしているサイトの運営者として想定している相手かどうかもサイトの安全性を確認する方法の1つになります。

もし、Webサイトが正しいものであるかどうかが分からない場合には、利用しないという判断も必要になります。特にオンラインショッピングやネットバンキングなど決済関連情報などを取り扱うサイトでは注意が必要です。

また、より厳密に確認を行いたい場合には、サポート窓口に電話をかけて確認するという方法もあります。

これらの安全なサイトの確認方法やフィッシング詐欺への対策について、更に詳しく知りたい場合にはフィッシング対策協議会が発行している下記のガイドラインをご参照ください。

・利用者向けフィッシング詐欺対策ガイドライン（フィッシング対策協議会）https://www.antiphishing.jp/report/pdf/consumer_antiphishing_guideline.pdf

この度は、編集部としても内容には細心の注意を払っておりましたが、重大な誤解を与える恐れのある情報を流布してしまい深くお詫び申し上げます。

今後は絶えず進歩するインターネットと情報セキュリティの動向に一層の注意を払うとともに、記載内容の確認を強化してまいりますので、今後ともセキュリティ通信をよろしくお願い致します。

・前回掲載（2020年2月20日）のトピックス
「「http」と「https」の違いを理解してより安全なネットライフを」
https://securitynews.so-net.ne.jp/topics/sec_20051.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock