写真 セキュアブレインの星澤裕二プリンシパルセキュリティアナリスト
写真 セキュアブレインの星澤裕二プリンシパルセキュリティアナリスト
[画像のクリックで拡大表示]

 「正規のサーバー証明書を使ったフィッシング・サイトが2005年末から登場している」。フィッシングを研究するセキュアブレインの星澤裕二プリンシパルセキュリティアナリスト(写真)はこう警告する。

 第3者機関に認証をもらっていないサーバー証明書は,アクセスした瞬間にポップアップで警告が出るため,不正を見破りやすい。ところが,正規のサーバー証明書を使って暗号化するWebサイトでは,警告画面を表示せず,すぐにWebブラウザの右下に「鍵マーク」が出る。
 
 これまで正規のサーバー証明書があれば,フィッシング・サイトである可能性は低いと考えられてきた。というのも,正規のサーバー証明書を取得するには,企業の身元を証明する必要があったからだ。身元を明らかにしたくない犯罪者にとって,サーバー証明書を取得するのはリスクが高い。ところが星澤氏によれば「電子メールのやり取りだけで,サーバー証明書を取得できるサービスが最近登場しており,これを使えば身元をほとんど明らかにする必要がない」のだという。
 
 このほか,「2度目にアクセスすると正規のサイトにリダイレクトするフィッシング・サイトも登場している」(星澤氏)という。アクセスしてきたIPアドレスを記録しておき,同じIPアドレスで再度アクセスした場合は本物のサイトにリダイレクトする仕組み。一度アクセスした後に,“さっきのサイトはちょっと変だったかも”と思って再度アクセスしても,正規のサイトなのでフィッシングが発覚しにくい。
 
 「フィッシングを仕掛けてくる犯罪者は,こうなっていれば安心というユーザーの常識を覆してくる。個人情報の入力を促すWebサイトを利用するときには細心の注意が必要だ」(星澤氏)。
 

(中道 理=日経コミュニケーション