(写真:Getty Images)
[画像のクリックで拡大表示]

 従来、Webブラウザーに鍵マークが表示されていれば、そのサイトは安全とされてきた。つまり、TLSに対応しているかどうかが重要だった。

 だがその常識は崩れ去った。セキュリティーベンダーの米フィッシュラブズによれば、フィッシングサイトの半数はTLSで通信するというのだ。TLSはWebなどの通信を安全にする技術(プロトコル)。TLSを使ったWebの通信はHTTPSと呼ばれ、URLは「https://」で始まる。

 フィッシングサイトとは、フィッシング詐欺に使われる偽サイトを指す。フィッシング詐欺は、有名企業などをかたる偽のメールでユーザーをフィッシングサイトに誘導し、パスワードやクレジットカード番号といった個人情報を入力させて盗むサイバー犯罪である(図1)。

図1●フィッシング詐欺の概要
攻撃者は、有名企業などをかたる偽のメールでユーザーをフィッシングサイト(偽サイト)に誘導し、パスワードやクレジットカード番号などを入力させて盗む。
[画像のクリックで拡大表示]

 フィッシュラブズによると、フィッシングサイト全体に占めるTLS対応サイトの割合は、2017年第3四半期は25%程度だったが1年で倍増。2018年第3四半期には49%になったという(図2)。

図2●TLSに対応したフィッシングサイトの割合の推移
セキュリティーベンダーの米フィッシュラブズの調査データに基づく。2017年第3四半期は25%程度だったが、2018年第3四半期には49%になった。
[画像のクリックで拡大表示]

 実際、フィッシングサイトの情報を集めているWebサイトで調べたところ、TLSに対応しているフィッシングサイトはとても多かった。そのうちのいくつかに、実際にアクセスしてみた(図3)。

図3●TLSに対応したフィッシングサイトの例
筆者が実際にアクセスしたTLS対応フィッシングサイト。いずれも偽物だがTLSに対応しており、鍵マークが表示されている。
[画像のクリックで拡大表示]

 筆者が調べた限りでは、Office 365などの企業向けサービスに見せかけるフィッシングサイトが多いように感じた。そうしたフィッシングサイトで企業ユーザーのメールアドレスやパスワードを収集し、ビジネスメール詐欺などに悪用している可能性が高い。

 以上のように、もはや鍵マークの有無だけでは、信頼に値するWebサイトかどうかを判断できない。常時TLSが当たり前となっている現在では、鍵マークは表示されて当たり前。そのうえで、WebサイトのURLやサーバー証明書の内容などから、本物かどうかを判断する必要がある。

 筆者が見たところ、TLSに対応しているフィッシングサイトのほとんどは、本物とは大きく異なるURLを使っていた。だが、中には本物と似たドメイン名を取得しているフィッシングサイトもある。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら