日本ベリサイン SSL製品本部ダイレクトマーケティング部 マネージャーの大塚雅弘氏は「ちょっとしたユーザー視点のセキュリティで上がるWebの信頼感」と題して、インターネット利用者が安心してサービスを利用できる仕組みづくりについて語った。
インターネット利用者の意識
|
|
|
日本ベリサイン SSL製品本部ダイレクトマーケティング部 マネージャー 大塚雅弘氏 |
毎年、日本ベリサインではインターネット利用者の意識調査を実施している。その中で、どのようなインターネットサービスをどの程度利用しているのかという設問で集まった回答では、オンラインバンキングやオンライントレード、契約・利用状況の確認、キャンペーンや懸賞への応募といったものが多かった。一方で、資料請求、問い合わせ、会社採用ページからの応募といった項目については、比較的利用者が少ないことがわわかった。
「資料請求や求人のページには、メールアドレスを置いているだけの企業もまだまだある。公開しているメールアドレスはスパム送信元偽装に使われることもあるし、メールの内容は簡単に盗聴できる。SSL対応のフォームを活用したほうがよい」と大塚氏は語った。
また、同調査では個人情報漏洩についての不安を感じるか、という点についての質問も行っている。これに対しては、程度の差はあれど不安を感じているという人が多いことがわかった。そうした不安を感じている人々は、どのようにサービスサイトが信頼できるかどうかを見分けているだろうか。寄せられた回答では、SSLに対応していることと並んで、サイトを運営する企業名を挙げる向きが多かった。しかし大塚氏は、「有名な企業であるからといって、安心だとは限らない。フィッシングは一時減少していたが最近また増加しており、特にブランドを悪用されたケースは大幅に増加している」と多くの人が利用している判別方法には問題があると指摘した。
フィッシング詐欺の手口と、それを見破る方法
フィッシングサイトの具体例を出しての説明では、見た目が本物とそっくりなサイトや、URLが本物と錯覚しやすいように作られている例が紹介された。特に多いのは、メールを経由して既存サービスを使い続けるための更新手続きを装うものだという。
フィッシング詐欺を行うフィッシャーの手口は、実社会での詐欺の手口に似通っている。期限を区切って早く手続きをしなければいけないと焦らせて判断力を鈍らせる手法や、有名企業のサイトに見せかけることで心理的抵抗感を低くする手法などがよく使われる。
その目的は、サービス利用のためのIDやパスワードなどの個人情報を盗み、データベース化して売却・貸し出しすることや、被害者のコンピュータをコントロールしてボットネットへ加えることなどがある。そのほかにも、預金残高の転送やクレジットカード番号の悪用、サイトの改ざんといった直接的な被害を与える例もある。
そうした悪意の攻撃にユーザーが対抗するには、まずアクセスしているサービスサイトの正当性を見破らなければならない。その方法として日本ベリサインが提供しているのが、SSLサーバ証明書だ。
「一般にSSLは暗号化の機能だと思われているが、もう1つ役割がある。それはサイトが本物かどうかを証明するというもの。つまり、送信先の正当性が確認できなければ、暗号化したデータでも送付するのは危険。日本ベリサインのサーバ証明書は企業の実在性をきちんと確認した上で発行するため、正当性が確認できる」(大塚氏)
また、日本ベリサインという社名を知らないエンドユーザがいても、「ベリサインセキュアードシール(ベリサインのSSL証明書マーク)は、日本でも70%以上の方がご存知であり、全世界では、1日あたり1億7,000万回も表示されるというほど利用されている」(大塚氏)という。
「大事なのは、信頼できる証明書であること。ドメイン認証だけのSSL証明書は簡単に取得できるため、鍵マークが表示されるフィッシングサイトは実在する。EVガイドラインに基づいて表示されるEV SSL証明書でなければならない」とした大塚氏は、実際にEV SSL証明書を取得しているサイトを表示した場合を解説。標準的なブラウザで、特別な対処をしなくともアドレスバーが緑色になることをデモンストレーションした。
アドレスバーの変色とともに、運営団体名が鍵マークの横に表示されることで、ユーザーは手軽にサイトの信頼性を確認できる。「信頼できるサイトであることを示す緑色以外にも、少し怪しいサイトならば黄色、証明書が間違っているなど危険なサイトは赤で表示される。現在利用されているブラウザの85%程度が対応している」と解説した大塚氏は「企業はユーザーが判別しやすい形で信頼性を示すべき。ユーザーに設定変更や新しいアプリケーションの導入をお願いして確認してもらうのは実際には難しく、サポートの手間も増える」と、標準的な環境で手軽に確認できることの重要性を訴えた。
|
|
メールの正当性証明も可能
同じように、ユーザーに見える形で信頼性を示すべきものとして挙げられたのはメールだ。
フィッシングサイトへの誘導はメール経由で行われることが多い。企業はユーザーに対してそのメールが自社から送ったものであることを、はっきりと証明できる手段を持たなければならない。
これを実現するのが「セキュアメールID」だ。これも日本ベリサインが企業の実在性を確認し、メールアドレスが企業所有のものであることを証明するサービスで、企業がメールを送信する際に電子証明書を付けることで、正当なメールであることを証明するものだ。「自社から送るメールには必ず証明書がついているということを事前に通達することを含め、顧客への教育・啓蒙が必要。仮にメールが改ざんされれば、ユーザー側ではセキュリティ警告が表示される」と大塚氏は語った。
証明書の副次的メリット
EV SSL証明書や、セキュアメールIDは、企業のセキュリティへの取り組みを目に見える形で示すものだ。導入した企業に対しては信頼度や好感度が向上したという調査もある(日本ベリサイン調べ)。
また、企業の取り組みとしてはプライバシーマークの取得などもあるが、実際にはブラウザ上で簡単に見られる証明書シールやアドレスバーの色でサイトの安全を確認しているユーザーのほうが多いようだ。
「"なりすまし"は、企業のイメージを低下させる。しかし、"なりすまし"は、誰が、いつ、どこで行うかわからない。つまり直接防止することは不可能だ。セキュリティの見える化は、従来の攻撃からの防御という受け身の姿勢から、積極的でわかりやすい攻めのセキュリティ対策への転換でもある。企業としてシステム脆弱性の対応や管理体制整備などをしっかりやるのは当然だが、セキュリティ対策に100%はない。証明書を使って企業の正当性やセキュリティ対策を表示することは、ユーザーに安心感を与えるだけでなく、攻撃者には攻撃対象にしづらいと判断させる抑止力も期待できる」と大塚氏。家庭や企業で警備会社と契約していることを示すシールを掲示するのと同じような効果が、証明書にもあることが語られた。
