サーバ証明書の発行手続と限界 |
|
|
電子証明書は、ベリサイン、セコムトラストネットなどの信用ある発行機関が発行します。 証明書発行機関は、サイト運営者が実在することの確認を行った上で、そのサイトに対して固有の電子証明書を発行します。したがって、発行者が「不明」となっているものは、独自に電子証明書を作成し、発行機関の認証を受けていないと考えられます。  ただし、発行機関は、そのサイトの運営者が実在することを保証するだけで、そのサイトの業務内容まで保証するものではありません。公序良俗に反するような業務を行っていても、一定の条件を満たせば、電子証明書は発行されてしまいます。 そのサイトのサービスを使うかどうかは、あくまで利用者責任なのです。 |
|
サーバ証明書を有するフィッシング・サイト |
|
|
2006 年 2 月 13 日、米SANS Instituteや米Websenseは、電子証明書を持つ偽サイトが確認されたとして注意を呼びかけています。 確認された偽サイトは,「Mountain America Federal Credit Union」を騙るものです。 実際のサイトの URL は「https://www.mtnamerica.org」ですが、偽サイトの URL は「https://www.mountain-america.net」でした。しかも偽サイトは、「www.mountain-america.net」であることを証明するための正規の電子証明書を取得していました。 Websense では,「ブラウザの右下に表示される錠マークだけでは,そのサイトが“本物”かどうかは判断できなくなっている」と注意を呼びかけています。 また、ID やパスワードを入力する画面は https で守られているものの、それを解析する画面またはプログラムに暗号化がかかっていないサイトもあります。「頭隠して尻隠さず」の状態ですね。 このように暗号化が中途半端なものでないかどうかは、HTML のソースを表示させて、FORM タグの ACTION 先が https:// で始まっていることを確認するしか手段がありません。 2009 年 7 月、米Symantec は、サーバ証明書をもつ正規サイトが乗っ取られ、フィッシングサイトが正規の電子証明書を使って正規サイトを騙るという手口が見つかったと伝えています。⇒Phishing Toolkit Attacks are Abusing SSL Certificates 攻撃側は、正規の電子証明書を取得した Web サーバを 1 つ乗っ取れば、そのサーバを使って多数のフィッシング・サイトを運営することが可能にななります。 Symantec によれば、フィッシングサイトかどうかを見分けるためには SSL証明書をチェックするか、認証機能を強化した EV SSL をあてにするしかないといいます。 |
|
twitterユーザーを狙うフィッシング詐欺 |
|
|
2010 年 4 月下旬から、twitter ユーザーを狙ったフィッシング詐欺メールが出回っています。 |
|
現在、twitter は利用者急増などの影響で一時的に利用できなくなったり、ツイートやダイレクトメッセージが遅延する現象が起きています。これを逆手にとって、「3通の遅延メッセージがあります」などというメールを送ってくるのです(実際には遅延していないかもしれません)。 そして twitter のサイトに見せかけたリンク先をクリックすると、たちまち悪質サイトに接続してしまうというものです。 |
フィッシング詐欺に引っかからないために |
|
|
ネット詐欺の手法はどんどん進化しています。 「自分は大丈夫だ」と過信してはいけません。ネットで個人情報を入力するときは、常に細心の注意を払ってください。とくにパスワードやクレジットカード番号を入力する際には、もう一度サイトやメールの全体を読み直してください。 一度個人情報が漏れてしまったら、取り返しのつかないことになります。 |
|
参考サイト |
|
|
|
(この項おわり)
|
|
|
|
|
2005年05月28日 作成
2010年05月07日 更新
Copyright by studio pahoo, (C)2010
(※)本ページはリンクフリーですが、複製・転載時にはご一報ください。 ★本ページへのご意見・ご質問・お便りは、ここをクリックしてください。 |
