米SANS Instituteは現地時間7月6日,ユーザーIDやパスワードを入力させるようなログイン・ページでは,パスワードなどの送信にSSL(Secure Sockets Layer)を使うだけではなく,ログイン・ページ自体もSSLにすべきだと注意を呼びかけた。フィッシング詐欺などを目的としたなりすましを防ぐためである(関連記事「なぜSSL利用をケチるのか」)。
SANS Instituteでは,最近確認されたフィッシング詐欺目的の偽サイトを引き合いに出して,SSLの重要性を説明する。この偽サイトは,米Yahoo!が提供する写真共有サービス「Yahoo! Photos」に見せかけたもの。URLを見れば偽物であることが一目で分かる単純なフィッシング・サイトである(写真)。
問題は,名前をかたられた本物のサイトのほうにある。今回名前を使われた「Yahoo! Photos」では,IDやパスワードの送信にはSSLを使用しているが,ログイン・ページ(http://photos.yahoo.com/)の表示にはSSLを使っていない。このためユーザーは,SSLの使用の有無からは,本物のサイトかどうかを判断できない。デジタル証明書(SSLサーバー証明書)から,サイトの正当性を検証することもできない。フィッシャー(フィッシング詐欺をおこなう人物)からすれば,偽サイトを構築しやすい状況にあるといえる。
これは,「Yahoo! Photos」に限った問題ではない。同様の問題はネット・バンキング・サービスを提供する銀行サイトにも存在するとして,SANS Instituteでは4月に注意を呼びかけている(Banks use non-ssl login forms)。SSLのログイン・ページを用意していても,デフォルトでは非SSL(http://で始まる)ログイン・ページを表示する銀行サイトは多いという(銀行サイトにおけるSSLの使用状況一覧)。
SANS Instituteでは,「SSLを使う理由は,暗号化と認証の2つ」であり,パスワードなどの送信にSSLを使う(POST先にSSLサイトを指定する)だけでなく,ログイン・ページの表示にも,そのページが本物かどうかを確認できるようにSSLを使うよう強く勧めている。
◆米SANS Instituteの情報(Yahoo! user account phishing)
◆米SANS Instituteの情報(Banks use non-ssl login forms)
◆SecureWebBank.comの情報
