URLが【https】でも危険な場合が・・・サイトの運営者の確認も重要!

ホームページのURLが「https://」の場合には、「SSL/TLS」という暗号化の仕組みが活用されており、安全だとよく言われますが、実はフィッシング詐欺の4分の1が「https://」とも言われ、決して安全ではありません。

 

実は、簡単に「https://」にすることが可能で、これを悪用してフィッシング詐欺などに利用されます。

 

そのため、サイトの運営者の情報、「運営組織名」、「運営組織の所在地」を確認しないと安心できません。

 

なお、「SSL/TLS」はインターネット上で通信を暗号化する技術で、暗号化に加え、データの改ざんを防ぎ、通信相手の認証も可能になっています。

 

まずは、パスワードやクレジットカードのような重要な情報をやり取りする場合には、ホームページのURLが「https://」で、“鍵マーク”がしっかり表示されていることを確認下さい。

 

(注)暗号化が不十分な場合は“鍵マーク”が無いか、“鍵マーク”に×が表示されます。

 

 

次に、「https://」が備えている「SSL証明書」で、サイト運営者の「運営組織名」、「運営組織の所在地」を確認することが大事です。

 

 

 

《補足》フィッシング詐欺の4分の1がHTTPSサイト

 

以下の記事によると、今ではフィッシング詐欺の4分の1がHTTPSサイトで行われているそうです(2年前は1%未満)。

 

2018年1月22日 HTTPSが安全とは限らない – カスペルスキー公式ブログ

https://blog.kaspersky.co.jp/https-does-not-mean-safe/19268/

 

 

■■□―――――――――――――――――――□■■


https】のSSL証明書には3つのタイプがあります


 中には信頼性の低いSSL証明書ドメイン認証証明書)も


■■□―――――――――――――――――――□■■

 

なおSSL証明書には、以下の3つがあります。①のドメイン認証証明書は数分程度で入手できるそうです。

 

ドメイン認証証明書(DV証明書)・・・信頼性が低い

②企業認証証明書(OV証明書)

③Extended Validation証明書(EV証明書)・・・最も信頼性が高い

 

①のドメイン認証証明書は書類を提出する必要がないため、数分程度で証明書が入手でき、SSL証明書をみると、「運営組織名」、「運営組織の所在地」を示す情報がありません。


ドメイン認証証明書のサイトでは、安心して個人情報を入力することができませんね。

 

②企業認証証明書には「運営組織名」、「運営組織の所在地」があり、

③Extended Validation証明書には「運営組織名」、「運営組織の所在地」に加え、法人設立直轄地という特別な情報もあり、安心できます。

 

 

■■□―――――――――――――――――――――――――□■■


SSL証明書の見方


 「運営組織名」、「運営組織の所在地」を確認しましょう!


■■□―――――――――――――――――――――――――□■■

 

ブラウザーのアドレスバーの「鍵マーク」をクリック

②証明書をクリック

③[詳細タブ]のサブジェクトをクリック

④運営者の情報の中に、「O:運営組織名」、「L,S,C:運営組織の所在地」があるか確認

 

 

 

 

 

■■□―――――――――――――――――――――――――□■■


Webサービスを活用したSSL証明書の確認

 「運営組織名」、「運営組織の所在地」を確認しましょう!


■■□―――――――――――――――――――――――――□■■

 

セキュリティソフトの大手、シマンテック(Symantec)が提供する「SSL Checkerサービス」を利用すると、簡単にSSL証明書を確認できます。


 SSL Checker | シマンテック(Symantec)提供

 https://cryptoreport.websecurity.symantec.com/checker/

 

①チェックするサイトのURLを入力

②[CHECK]クリック

③「運営組織名」、「運営組織の所在地」を確認

 

 

 

 

■■□―――――――――――――――――――□■■


サイトの運営者を証明する「SSL証明書」とは


■■□―――――――――――――――――――□■■

 

この「SSL/TLS」には「SSL証明書」という、サイトの運営者を証明するものがあり、SSL証明書を見ることで、ホームページの運営者を確認することができます。

 

ただし、SSL証明書は簡単に発行できるものもあり、フィッシング詐欺に使われてしまう可能性がありました。この状況を解決するために考えられたのが、「EV SSL証明書」です。

 

下記に「SSL証明書」について、分かりやすい説明があったので、これを参考に紹介します。


SSL/TLS証明書、その特性について – カスペルスキー公式ブログ https://blog.kaspersky.co.jp/certificates-are-different/20273/

 

 

SSL証明書には、信頼性、入手者とその方法、価格に応じて、次の3種類があります。 

 

 

ドメイン認証証明書(DV証明書)・・・信頼性が低い

 

証明書を入手するには、対象となるドメインを所有していること、またはそのドメイン上でサイトを管理していることを証明する必要があります。ただし、証明書を所有する組織に関する情報は含まれません。また、書類を提出する必要がないため、DV証明書の取得にかかるのは数分程度です。

証明書に記載されているサイトの運営者の情報も少ないです。①CN(コモンネーム)しかないサイトもあります。これでは、誰が作ったサイトか分からないので信頼がおけません。

 

 [証明書のサブジェクトの内容]

  ①CN(コモンネーム)

  ②OU(部署名)

  ③C(国/地域名)

 

 

②企業認証証明書(OV証明書)

 

ドメイン認証証明書よりも1つ高いレベルに位置付けられます。これは、ドメインへの接続が保護されていることを証明するだけでなく、そのドメインが証明書に明示された組織に実際に所属していることを示します。申請書類の確認と証明書の発行には、数日かかります。

証明書にはサイトの運営者の情報(運営組織名、所在地)がしっかり記載されています。

 

 [証明書のサブジェクトの内容]

  ①CN(コモンネーム)

  ②OU(部署名)

  ③O(運営組織名)

  ④L(運営組織の所在地-市区町村)

  ⑤S(運営組織の所在地-都道府県)

  ⑥C(運営組織の所在地-国)

 

 

③Extended Validation証明書(EV証明書)・・・最も信頼性が高い

 

信頼が最も高い証明書です。OV証明書と同様に、必要な申請書類をすべて提出した法人だけが、この証明書を取得できます。EV証明書を取得した組織のWebサイトの場合、ブラウザーのアドレスバーには緑色の錠アイコンが表示され、組織の名称と所在地が緑色で表示されます。

証明書にはサイトの運営者の情報として運営組織名、所在地に加え、法人設立直轄地が記載されています。

 

 [証明書のサブジェクトの内容]

  ①CN(コモンネーム)

  ②OU(部署名)

  ③O(運営組織名)

  ④STREET(運営組織の所在地-町名・番地)

  ⑤L(運営組織の所在地-市区町村)

  ⑥S(運営組織の所在地-都道府県)

  ⑦C(運営組織の所在地-国)

  ⑧法人設立直轄地-国

  ⑨法人設立直轄地-登録番号

 

 

■■□―――――――――――――――――――□■■


《補足》サイトのURLが“https://”でも危険な場合とは


■■□―――――――――――――――――――□■■

 

ネットショップやインターネットバンキングなどの個人情報を入力するサイトのURLは、通常「https://」になっており、インターネットとのやり取りは暗号化されています。それでも、安心は禁物です。URLが「https://」でも悪用される危険性があります。

 

①URLが「https://」でも悪用される危険性 その1

 

Webサイトの証明書を暗号化する技術「SHA-1」だと悪用される危険性があります。Webサイトの証明書の暗号化技術には「SHA-2」を使うことが必要です。

 

安全性が低い暗号化技術「SHA-1」を使っていた場合は、証明書の偽造が可能になり、ブラウザーが本物のWebサイトと区別できなくなります。

 

②URLが「https://」でも悪用される危険性 その2

 

使われているSSL/TLSという暗号化通信プロトコルが、SSL 1.0、SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1のバージョンだと、インターネットでやり取りする個人情報や機密情報を盗聴、漏えいさせることが可能になります。そのため、最新の通信プロトコルTLS 1.2」を使う必要があります