「SSLだから安心」は間違い - セキュリティセミナー大塚氏

6月に開催された「2011 Webセキュリティセミナー」(マイコミジャーナル主催)で、日本ベリサイン SSL製品本部ダイレクトマーケティング部マネージャーの大塚雅弘氏は、「今、Webサイトを守るために必要な対策とは～ソーシャルメディアや最新事例から読み解く今後のセキュリティ対策～」と題する講演を行った。大塚氏は、現在のWebを取り巻くセキュリティ事情を概観しつつ、ユーザーが安心してサイトを利用できるように、EV SSL証明書などを使って"セキュリティの見える化"をすることが重要だと主張した。

インターネットは悪用しやすいメディア

日本ベリサイン SSL製品本部ダイレクトマーケティング部マネージャーの大塚雅弘氏

大塚氏はまず、GmailやFacebook、Twitterといったインターネットの新しい潮流について触れながら、「インターネットはオープンで便利なメディアで利用者も多いが、実際には、顔が見えない"非対面"の世界であり、相手を信頼する手段が限られる」と指摘。このため、高度な技術を持つ犯罪者から見ると、悪用しやすいメディアであるという性質を持つと説明した。

実際、これまでにも、メールについては、送信者の詐称したスパムやフィッシング詐欺、マルウェアの送信などがさかんに行われており、ウェブサイトを見ても、正規サイトを装ったフィッシングサイトやサイトの改ざん、不正アクセス、ボットネットによる攻撃が絶えない。

「犯罪者が巧妙な手口を使って、自分を特定されないように活動している。以前は、自分の力を誇示したり、愉快犯的な行動が多く見られたが、現在は、複数の組織での分業体制で、金銭取得を明確な目的にする犯罪行為がほとんどを占めるようになった」(同氏)

最近では、SNSを利用した攻撃やオンラインゲームを装ったフィッシング/不正アクセス、スマートフォンを狙ったマルウェア送信といったように、新しいメディアや端末が登場するたびに、リスクが生じているような状況だ。東日本大震災関連でも、日本への義援金を騙るフィッシングサイトや日本赤十字社を騙るフィッシングサイトが見つかったほか、震災に便乗したと考えられる「earthquake」「tsunami」「disaster」「fund」「donation」といった文字列を含むドメインが、3月12日から3月13日にかけて少なくても100件登録されていたことが分かっている。

SSLだからと信用するのは早計

そんななかで、ユーザーが安心してアクセスするWebサイトに必要なものは何か。その代表として挙げられるのが、SSLだ。実際、日本ベリサインが「インターネットサービスを利用する際、その企業(サイト)の安全性を確認するために、どんなことを確認しているか」を聞いた調査では、オンラインバンキング/オンライントレードの利用者の約62%、ネットショッピング/ネットオークション利用者の約53%が「SSLに対応していること」を挙げている(いずれも1位)。

だが、大塚氏は、「SSLに対応していること」がすなわち安全だとは言えない面があると指摘する。SSLサーバ証明書には、ネットワークを経由するデータのSSLによる暗号化機能と、Webサイトが本物であることを証明する機能の2つの機能があるが、その2つがきちんと機能しているかどうかは、ユーザーが直ちに判断できないからだ。

例えば、URLがhttpsという文字列から始まっていても、そのWebサイトに使われている証明書が信頼のおける第三者機関によって存在が証明されたかどうかまでは分からない。ブラウザによっては、自己署名した証明書でも警告なく表示するし、認証局の証明書を使って、なりすましサイトやフィッシングサイトを作成することもできる。

つまり、犯罪者は、ユーザーの「SSLに対応しているサイトだから安心」という心理を巧みに利用して、悪意あるサイトへと誘導できてしまうというわけだ。

最近のブラウザでは、SSL証明書をユーザーが確認できるように、アドレスバー付近に鍵マークがつくようになっていて、鍵マークをクリックすると、認証局の名前やドメイン名などが表示される仕組みが装備されている。だが、実際にサイトを訪れた際に、鍵マークをクリックして証明書を確認するユーザーは稀だろう。