セキュリティのトピックス-PR-

“本物”のSSL証明書を持つフィッシング・サイト出現

2006/02/14
勝村 幸博=ITPro (筆者執筆記事一覧
“本物”のSSL証明書を持つ偽サイトの例(<a href="http://www.websensesecuritylabs.com/blog/" target=_blank>Websenseの情報</a>より)
“本物”のSSL証明書を持つ偽サイトの例(<a href="http://www.websensesecuritylabs.com/blog/" target=_blank>Websenseの情報</a>より)
[画像のクリックで拡大表示]

 米SANS Institute米Websenseは現地時間2月13日,実在するサイトに思わせるようなドメイン名を持ち,なおかつ,そのドメイン名に対して発行されたSSL用サーバー証明書(デジタル証明書)を持つ偽サイトが確認されたとして注意を呼びかけた(関連記事)。

 確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。しかも偽サイトは,同サイトが「www.mountain-america.net」であることを証明するためのSSL証明書を取得していた。この証明書はCA(認証局)ベンダーが発行したものなので,ブラウザは警告を出すことなく,SSL通信であることを示す錠マークを表示する。

 Websenseでは,「ブラウザの右下に表示される錠マークだけでは,そのサイトが“本物”かどうかは判断できなくなっている」と注意を呼びかけている。また,SANS Instituteでは,そのようなサイトへ証明書を発行するベンダーが問題であるとしている。併せて,銀行やクレジット会社などでは,クリッカブルなリンクを記述したメールは送らないようにすべきとしている。正規の企業がそのようなメールを送ることは,フィッシング詐欺に遭う“土壌”を作ることになるからだ(関連記事)。

◎参考資料
Phollow the Phlopping Phish
More Phishing with SSL.

今週のトピックス-PR-

今日のピックアップコンテンツ-PR-

>>もっと見る

ITpro Special

ネットワーク/通信サービス

>>もっと見る

▲ ページトップ

これからのIT投資術-PR-

ピックアップコンテンツ-PR-

>>もっと見る

日経コンピュータ Digital

ITpro partners

イベントINFO -PR-

最新号

注目のセミナー

申込受付中!

社内で一目おかれる 事例マーケター養成講座【9/9開催】

社内で一目おかれる事例マーケターになるための勘所(事例の選び方、作り方、伝え方)を伝授!