• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

世界のセキュリティ・ラボから

HTTPSは100%安全の証? 油断は禁物

2014/09/24 日経コミュニケーション

 セキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップする。今回はまず、トレンドマイクロが取り上げている、HTTPSの安全性についての話題を紹介しよう。

 米グーグルが、セキュアなHTTPS接続の普及を促すために、HTTPSに対応しているWebサイトを検索ランキングで優遇する方針を先月発表した。サイト運営者は積極的にHTTPS移行を考える可能性がある。しかし、サイバー攻撃者も同様だと、トレンドマイクロはブログで注意を呼びかけている。

 HTTPS接続を採用したフィッシングサイトの数は急激に増加しており、今年はホリデーシーズンが残っていることを考えると、倍増することが予測される。

HTTPS接続を採用したフィッシングサイトの数

 サイバー犯罪者にとって、HTTPS対応のWebサイトを作成することはたやすく、既存のHTTPS対応サイトを乗っ取ることも、HTTPSを採用している正規のホスティングサイトのサービスを利用することも簡単だ。つまり、サイバー犯罪者は自身のSSL証明書がなくても、証明書を持っているサーバーを乗っ取ってしまえばいい。

 HTTPSを利用する手口は、モバイルフィッシングでも確認されている。トレンドマイクロは最近、HTTPS接続と公式証明書を使っている、米ペイパルを装ったフィッシングページを見つけた。正規のサイトでホスティングされているらしいことから、乗っ取られたと考えられる。

 特定のサイトがフィッシングサイトであるかどうか判断するには、証明書のコモンネームを確認するといい。コモンネームは通常、ドメイン名と一致している。ペイパルの正規モバイルサイトの証明書はコモンネームが「mobile.paypal.com」、組織名(運営者)は「PayPal」と記されているが、偽装サイトの証明書はそのようには表記されていない。

次ページ以降はITpro会員(無料)の方のみお読みいただけます。

次ページ トレンドマイクロは過去のブログ記事で、モバイルユ...
  • 1
  • 2
  • 3
  • 4
  • 5

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る