本物そっくりの偽サイトに誘導し、アカウント情報やクレジットカード情報などをだまし取るフィッシング詐欺が後を絶たない。偽サイトか否かを見破る方法として、SSL通信に対応しているか否かは、重要なポイントだ。しかし、最近ではSSL通信に対応した偽サイトがしばしば出現しており、注意が必要だ
■SSL通信は偽サイトを見分ける重要ポイントだが…
SSL通信に対応しているかどうかを見分けるには、URLが「https://」で始まり、錠前マークが表示されることを確認すればよい。SSL通信対応には余分な手間やコストがかかるため、わずか数日で使い捨ててしまう偽サイトをSSL通信に対応させようとする攻撃者はほとんどいない。このため、SSL通信対応は真偽を見分ける重要な要素となり、SSL対応ならば本物である可能性はかなり高い。しかし、たまに例外が発生する。SSL対応サイトが不正アクセスを受けて偽サイトを設置されたケースや、SSL対応サービスが悪用されたケースがそれである。
■不正アクセスを受けたSSL対応サイト――防科技研の場合
8月9日、防災科学技術研究所が運営する「防災コンテスト」の申し込みサイトが不正アクセスを受け、米決算サービスPayPal(ペイパル)の偽サイトが設置されてしまった。このサイトは、コンテスト参加者の申し込みを受け付けるためにSSL通信に対応していたため、サイト内に設置された偽サイトもSSL対応になってしまう結果となった。ただし攻撃者は、SSL対応になることを狙っていたわけではなかったようで、最新の主要なブラウザでは、URLが「https://」で始まるものの、錠前マークは正常に表示されない状態だった。
錠前マークの表示要件が厳しくなった最近のブラウザでは、SSL通信のページに非SSL接続の要素が混入していると、正常な錠前マークは表示しないようになっている。防災コンテストの申し込みサイトに設置されていた偽サイトには、非SSL接続の要素が使われていたため、結果として錠前マークが表示されなかった。だが、表示要件の緩いブラウザで閲覧したり、攻撃者がSSLを意識して偽サイトを作成していたりした場合には、URLが「https://」で始まり、錠前マークが表示される偽サイトになっていた。
■SSL対応サービスの悪用――Googleのフォーム機能など
手軽に入力フォームを設置できるサービスや、一部のレンタルサーバーの中には、サービス自体がSSLに対応しているところがある。こうしたサービスを悪用して偽サイトを開設すると、自動的に偽サイトがSSL対応になってしまう。
フィッシングに悪用されることの多いSSL対応サービスのひとつに、Googleのフォーム機能がある。デザインの自由度が低いため、本物そっくりに作り上げるのが困難な上、パスワードなどを入力しないようにとの注意書きまで表示されてしまうのだが、海外のフィッシングでは、現在もコンスタントな悪用が続いている。
今年3月には、国内の同種のサービス「SecureFORM」を悪用した、LINEのアカウント情報をだまし取ろうとする偽サイトが出現した。LINEを荒らしから保護するという触れ込みで、ログイン情報を入力させようとするものだ。フォームサービスの制約から決して出来の良い偽サイトではなかったが、「無料のSSL付きメールフォーム」という触れ込み通り、「https://」で始り錠前マークが表示されるページになっていた。
■SSL接続時には接続相手の確認を
SSL通信時には、正しい相手に接続しているかどうかを確認することが重要だ。オンラインバンキングなどに使われていることの多いEV SSL証明書の場合には、アドレスバーの横などに運営会社の名前が緑色で表示されるので、簡単に確認することができる。
通常のSSLの場合には、錠前マークのクリックなどの操作で、証明書の内容を表示することができる。証明書の運営者欄に正しい相手が記載されているかどうか、正しいURLであるかどうかを合わせて確認しよう。
(2014/09/01 ネットセキュリティニュース)