Eメールから,真正なサイトになりすましたWebサイトに誘導し,IDやパスワードなどの情報を盗み取るのがフィッシングだ。フィッシングによる金銭的な被害は,国内でも2004年9月には発生している(関連記事)。それから1年以上が経つ。Webサイトにとって基本的なフィッシング対策の一つは,SSLをログイン画面から使うこと。しかし,この基本対策をなおざりにしているWebサイトがまだ多い。
SSLならアクセス先を確認できる
一見,暗号化のためのSSLとフィッシング対策とは,関係ないようにも思える。でも実は,SSLには暗号化のほかに,電子証明書で身元を証明するという機能も備わっている。Internet ExplorerなどのWebブラウザで,SSLを使用していることを示す鍵(かぎ)マークをクリックすると,電子証明書が表示される。利用者が意識してこの証明書を確認すれば,アクセス先がどこであるかが判別できるようになっている。
入り口からSSLが使われていなければ,メールなどで偽サイトに誘導されたときに,そこが真正なサイトであるかを検証できる手段がなくなる。URLで確認する手もあるが,こちらは電子証明書に比べて信頼性が落ちる。真正なWebページと組み合わせてログイン画面を表示させるといった手口で,URLは正しく見せながら偽サイトに誘導することもできてしまうからだ。
今や重要な情報を扱うWebサイトは,SSLを使うのが常識。しかし,ログイン後はSSLを使うのに,ログイン画面の表示にはSSLを使用していないWebサイトが意外に多い。銀行のサイトではさすがに減っているが,Webメールやクレジットカード会社などにはまだある。そのようなサイトに限って,「ログイン時にSSLを使うのでIDやパスワードは暗号化されます」とわざわざ注意書きがあったりする。確かに注意書きのように,IDとパスワードを送るときにはSSLで暗号化されるのは事実。しかし,ログイン画面でSSLを使わなければ,偽サイトに誘導されたときにそれを知るすべがない。
定期的にリンク付きメールを送ると最悪
ではなぜ,いまだにログイン画面でSSLを使わないWebサイトが多いのか。理由はいくつか考えられる。まず,フィッシング対策が意識されないころに作られたWebページであること。対策しない理由としては論外だろう。
会員以外のユーザーが訪れるWebページにログイン用の入力フォームも用意している場合,Webサイトの負荷が大きいSSLを使うことに能力上の問題になる可能性もある。しかしこれが問題なら,会員には別にログイン画面にいったんジャンプしてもらうといった方法をとればよい。
電子証明書は確認されることが少ないので,フィッシング対策として実効性が小さいと考えている節もある。確かに実際に確認する利用者は少ないかもしれないが,利用者に鍵マークの有無を確認する習慣が根付くだけで,フィッシング被害は減らせる。身元証明が必要な電子証明書をわざわざ取得する犯罪者はそう多くないからだ。
逆に最悪なのが,入り口にSSLを使わないうえに,リンク付きのメールを定期的に発送しているWebサイト。例えばクレジットカード会社が,利用明細の更新をリンク付きメールで送信している場合だ。クレジットカード会社にすれば親切心のつもりだろうが,同じようなタイミングで偽メールが送られれば,利用者の多くは気付かないうちに偽サイトにIDとパスワードを入力してしまうだろう。
では利用者としてはどうすればいいのか。そのようなWebサイトにはアクセスしないようにするのが一番。しかし現実には,銀行やクレジットカード会社との取引をフィッシング対策だけで決めるわけにはいかない。危険だと知りつつも,アクセスしなければならないこともあるだろう。そのようなときには,たとえ定期的に送られてくるメールであっても,そのサイトへのリンクは絶対クリックしないこと。常にブックマークからアクセスするようにすれば,かなりの危険は回避できる。
Webサイトはログイン画面からSSLを使い,利用者はログイン時に鍵マークを確認するのが常識。筆者は強くアピールするが,すべてのWebサイトがそうなるには時間がかかりそうだ。そうなるまでは,利用者が自衛するほかない。
