Websenseの情報より）" width="200" border="0">

“本物”のSSL証明書を持つ偽サイトの例（Websenseの情報より）

[画像のクリックで拡大表示]

　米SANS Instituteや米Websenseは現地時間2月13日，実在するサイトに思わせるようなドメイン名を持ち，なおかつ，そのドメイン名に対して発行されたSSL用サーバー証明書（デジタル証明書）を持つ偽サイトが確認されたとして注意を呼びかけた（関連記事）。

　確認された偽サイトは，「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが，偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。しかも偽サイトは，同サイトが「www.mountain-america.net」であることを証明するためのSSL証明書を取得していた。この証明書はCA（認証局）ベンダーが発行したものなので，ブラウザは警告を出すことなく，SSL通信であることを示す錠マークを表示する。

　Websenseでは，「ブラウザの右下に表示される錠マークだけでは，そのサイトが“本物”かどうかは判断できなくなっている」と注意を呼びかけている。また，SANS Instituteでは，そのようなサイトへ証明書を発行するベンダーが問題であるとしている。併せて，銀行やクレジット会社などでは，クリッカブルなリンクを記述したメールは送らないようにすべきとしている。正規の企業がそのようなメールを送ることは，フィッシング詐欺に遭う“土壌”を作ることになるからだ（関連記事）。

◎参考資料
◆Phollow the Phlopping Phish
◆More Phishing with SSL.