昨今のサイバー犯罪増加率は目に余るものがある。日本政府の内閣官房情報セキュリティセンターも「国民を守る情報セキュリティサイト」を立ち上げ、セキュリティ意識の向上を促す啓発活動を行ってきた(内閣官房情報セキュリティセンター「国民を守る情報セキュリティサイト」)。サイバー犯罪に類する被害は数多くあるが、もっとも問題となるのが、偽のオンラインバンキングなどに誘導する電子メールを送り、偽のWebサイトでIDやパスワードを盗み出すフィッシング詐欺(Phishing)である。
コンピューターから盗み出した情報でアクセスし、自身のダミー口座に送金するまでの流れを「不正送金」と呼ぶが、その被害額は2013年だけでも14億円。 警視庁の発表情報によれば、2014年1月からわずか2カ月で6億円と被害額は増加傾向にある(「インターネットバンキングでの不正送金が急増 - 警察庁」)。金融機関だけではない。ECサイトへの"なりすまし"も同様に大きな被害をもたらす。偽のECサイトにクレジットカードの情報を含む個人情報を入力してしまうことで金銭的被害へと繋がる。今後も増加が懸念される問題だ。
このようにサイバー犯罪が増える理由として、個人・法人におけるセキュリティ意識の低さや、Webサーバを始めとするインターネット環境への投資額抑止が影響しているのだろう。
最近ではサーバとWebブラウザ(クライアント)の間に侵入し、パスワードや送金情報を改ざんして不正送金を行う「Man-in-the-Middle(中間者攻撃)」なども増えている。この手法は、通信間に割り込んでパケットを盗み取るというものだ。具体的には銀行に送ったIDやパスワードを盗み取るパターンや、送金先の口座番号を自身が管理する番号に置き換えるパターンなども見受けられる。
このように日々進化するサイバー犯罪に対抗するには、認証サポートを物理デバイスで行う「セキュリティトークン」の導入なども求められるが、まずは偽のWebサーバに誘導されても、ユーザーが真偽を判断できるようにする用意が欠かせない。そこでSSL/TLS通信環境の設備が必要となるのだ。
SSL/TLSによる通信を行う際、Webブラウザには南京(なんきん)錠風のアイコンがアドレスバーに示される。ここ数年の間にGoogleやFacebook、Twitterなどの世界的なポータルサイトにおいても全面的なSSL化の動きが加速してきているのだ。検索サイトのGoogleでは、検索結果のSSLプロトコル(https://~)での表示が行われている。従来はログインユーザーだけに提供されていたものだが、現在ではログインの有無を問わずSSLプロトコルで検索結果が表示される。
このようにアイコンやSSLサーバ証明書が示した内容は、ユーザーへ安心感を与え、サービスを提供する企業への信頼感へとつながるのだ。さて、前回に引き続き、今回も実際に導入に関して認証局でお客様サポート対応をしている方に聞いてみよう。
Q. SSLサーバ証明書導入で何ができるのか ?
Answer.
暗号化されていない通信ではデータが盗聴されている恐れもあります。SSLサーバ証明書では、通信を暗号化していることや運営側の実在証明などを担保する役割を持っています。ウェブサイトにアクセスしたユーザーは証明書を確認することで、なりすましサイトやフィッシングサイトではないサイトと明確に区別できます。
Q.SSLサーバ証明書を導入しない場合は ?
Answer.
直接的な被害に遭えば当然、自社ブランドの毀損(きそん)や、金銭的賠償など、事業継続にまで影響を及ぼすリスクが懸念されます。
また、昨今のような状況下ではセキュリティレベルが低いとユーザーに判断されるだけで、信用が落ちてしまう可能性もあるでしょう。もちろんWebサーバ自体のセキュリティ管理は必要ですが、暗号化を提供するSSL/TLS環境を整えることで、スニッフィングから通信内容を守ることも大切なことなのです。
SSLサーバ証明書の導入は難しい ?
Answer.
レンタルサーバを利用している場合、その事業者によって異なります。契約プランによって、事業者が用意したSSLサーバ証明書を使うケースや、独自契約したSSLサーバ証明書を設置することも可能です。お問い合わせのフォームや電話によるお問い合わせにも対応していますので、お気軽にご連絡ください。
今回協力していただいたGMOグローバルサイン株式会社
セキュリティの問題が大きくクローズアップされてきた昨今だが、マルウェアばかりに注意すれば良いわけではない。フィッシング詐欺など金銭に直結するような被害に気をつけるのであれば、SSLサーバ証明書をはじめとしたウェブサイトの信頼性や通信の暗号化などにも注意を払わなければならない。ECサイトのなりすましが増加しており、ユーザー保護の観点からもSSLサーバ証明書の導入を視野に入れなくてはならないだろう。