このページの本文へ

フィッシング詐欺に負けないサイトを作れ!

一般企業でもEV SSLサーバー証明書の導入を

2009年10月23日 16時00分更新

文● TECH.ASCII.jp 記事協力●GMOグローバルサイン

  • この記事をはてなブックマークに追加
  • 本文印刷

Webサイトのセキュリティを確保するにあたって、SSLサーバー証明書の導入はすでにすっかり定着したものになった。このSSLサーバー証明書の実在証明確認を強化したのが、昨今金融機関での導入が相次いでいるEV SSL証明書である。

横行するフィッシング詐欺
ドメインへの信頼性を逆手に取られ

 昨今、金銭の詐取を目的としたフィッシングが相次いでおり、大きな問題となっている。典型的な手口としては、ユーザーに対して金融機関や大手ポータルなどを偽ってメールをだし、言葉巧みにリンクをクリックさせ、フィッシングサイトに誘導。フォームにユーザー情報を登録させたり、マルウェアをダウンロードさせるというものだ。

 こうしたフィッシング詐欺では、メールの送信元やフィッシングサイトのドメインに対する信頼度を逆手に取ることが多い。確かに金融機関や大手ポータルを謳うメールがやってきて、メールアドレスやWebサイトのドメインがそれらしかったら、内容を信じてしまう可能性も大きい

 これに対しては、SSLサーバー証明書をサーバーに登録しておくことで、ユーザーに安心感を与えることができる。SSLサーバー証明書を用いることで、ユーザーはドメイン名の使用権や組織の実在性をWebブラウザー上で確認し、サーバーとのデータの送受信も暗号化することが可能になるわけだ。

 こうしたSSLサーバー証明書を低廉な価格で提供しているのが、GMOインターネットグループ傘下で電子証明書のビジネスを展開しているGMOグローバルサインである。

目で見てわかる安心感
EV SSL の実力

 GMOグローバルサインといえば、ドメイン名の使用権のみを証明することで、低価格・スピーディな発行を可能にした「クイック認証SSL」が特に知られている。ただし、発行までのオペレーションを自動化することで低価格を実現しているため、クリック認証SSLでの証明内容はドメイン名の使用権の確認にとどまる。その一方で、グローバルサインは企業の実在性を厳格に証明する「企業認証SSL」や「EV SSL証明書」を展開している。このうち、特にフィッシング対策として提供されているのが、企業認証SSL 証明書よりも高い実在確認を実現したEV SSLサーバー証明書である。

グローバルサインが提供する3つの証明書

 EV SSLサーバー証明書のEVはExtended Validationの略で、サーバーを運用管理する組織の実在性を厳密に審査するタイプの証明書を指す。もちろん、従来の審査が厳格でなかったわけではないが、EV SSL証明書ではCAブラウザフォーラムという標準化団体で策定された審査基準を基に審査を行なう。EV SSLサーバー証明書は、そもそも法人登録されている民間企業や政府機関にしか発行されない。また、審査に関しては事業所の物理的な実在や、申請責任者の権限まで確認される。

グローバルサインが提供する3つの証明書

 ユーザーから見た既存のSSLサーバー証明書とEVSSL サーバー証明書の違いは、EV SSLサーバー証明書を登録したサイトを表示すると、Webブラウザーのアドレスバーが緑になる点だ。しかもWebブラウザーによっては企業名までアドレスバーの横に表示される。見た目でサイトの安全性がすぐにわかるのは便利で、最新のWebブラウザであれば、いずれも対応している。

金融機関を中心に導入が進む
今後は一般企業にも

 価格も13万4400 円/年(税込)と、EV SSLサーバー証明書にしては手頃な価格を実現。まとめ買いによる割り引きや乗り換えボーナスなども用意されているので、導入の敷居も低い。

 昨年、本格的にサービスがスタートしたEV SSL サーバー証明書だが、金融機関を中心にまたたく間に導入が進んでいる。

 グローバルサインのEV SSLサーバー証明書を導入した東海東京証券では、オフィシャルポータルサイトのSSLとして導入。「歴史ある認証局としての信頼感が、まずはポイントになりました。そのうえで、EV SSLサーバー証明書としては価格が非常に安価であったことも見逃せません」というコメントを出している。セキュリティに対する先進性をアピールする効果も大きく、今後はオンライントレードへの活用も予定しているという。こうした金融機関は、今後も増えていくだろう。

グローバルサインの顧客である東海東京証券では、EV SSL証明書をいち早く導入し、セキュリティをアピールしている

 現在、EV SSLというと高価な金融機関向けサービスというイメージが強いが、今後はコマースサイトや一般企業での導入も増えていくと思われる。というのも、米国では正規のSSLサーバー証明書を用い、大手サイトを装ったフィッシングサイトが増えているという状況があるからだ。ユーザーもSSLの鍵のアイコンがあるだけで安心してしまうため、正規サイトだと思ってユーザー情報などを安易に登録してしまうのだ。

 もちろん、サイト自体が乗っ取られてしまった場合は効果を持たないが、EV SSL サーバー証明書では運営している組織名が表示されるので、安全性は高い。

 今まで価格とブランドくらいしか選択肢がなかったSSLサーバー証明書だが、さまざまな種類が増えてきた。今後はスピーディな導入であればクイック認証SSL、セキュリティ最重視であればEV SSLとサービスを使い分ける時代になったといえる。グローバルサインはさまざまな品揃えでWeb サイトのセキュリティ強化を応援してくれる。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード