URLが【https】でも危険な場合が・・・ サイトの運営者の確認も重要!

ホームページのURLが「https」の場合には、「SSL/TLS」という暗号化の仕組みが活用されており、安全だとよく言われますが、実はフィッシング詐欺の4分の1が「https」とも言われ、決して安全ではありません。

 

実は、簡単に「https」にすることが可能で、これを悪用してフィッシング詐欺などに利用されます。

 

そのため、サイトの運営者の情報、「運営組織名」、「運営組織の所在地」を確認しないと安心できません。

 

なお、「SSL/TLS」はインターネット上で通信を暗号化する技術で、暗号化に加え、データの改ざんを防ぎ、通信相手の認証も可能になっています。

 

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

 

パスワードやクレジットカードのような重要な情報をやり取りする場合、次の①、②の確認が大事です。

 

 

①まずは、ホームページのURLが「https」で、“鍵マーク”がしっかり表示されていることを確認下さい。

 

(注)暗号化が不十分な場合は“鍵マーク”が無いか、“鍵マーク”に×が表示されます。

 

f:id:yougo-school:20180703163606p:plain

②次に、https」が備えている「SSL証明書」で、サイト運営者の「運営組織名」、「運営組織の所在地」を確認することが大事です。

 

f:id:yougo-school:20180703163638p:plain

 

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

 

《補足》フィッシング詐欺の4分の1がHTTPSサイト

 

なお、最近は、フィッシング詐欺のサイトでも「https」が使われることが多くなっています。

 

以下の記事によると、今ではフィッシング詐欺の4分の1がHTTPSサイトで行われているそうです。

 

 2018年1月22日 HTTPSが安全とは限らない – カスペルスキー公式ブログ

 https://blog.kaspersky.co.jp/https-does-not-mean-safe/19268/

 

そのため、サイトを安心して利用するためには、以下の①、または②であることを確認することが大事です。

 

SSL証明書にサイトの「運営組織名」、「運営組織の所在地」が表示されている

②アドレスバーに企業名が表示されている(EV SSL証明書)

 

 

■■□―――――――――――――――――――□■■

https】のSSL証明書には3つのタイプがあります

 中には信頼性の低いSSL証明書ドメイン認証証明書)も

■■□―――――――――――――――――――□■■

 

なおSSL証明書には、以下の3つがあります。①のドメイン認証証明書は数分程度で入手できるそうです。

 

ドメイン認証証明書(DV証明書)・・・信頼性が低い

②企業認証証明書(OV証明書)

③Extended Validation証明書(EV証明書)・・・最も信頼性が高い

 

①のドメイン認証証明書書類を提出する必要がないため、数分程度で証明書が入手でき、SSL証明書をみると、「運営組織名」、「運営組織の所在地」を示す情報がありません。

 

ドメイン認証証明書のサイトでは、安心して個人情報を入力することができませんね。

 

②企業認証証明書には「運営組織名」、「運営組織の所在地」があり、法的に実在している企業・団体が運営しているサイトであることが証明され安心です。

 


③Extended Validation証明書には「運営組織名」、「運営組織の所在地」に加え、法人設立直轄地という特別な情報もあり、一番安心できます。

 

f:id:yougo-school:20180703163824p:plain

 

■■□―――――――――――――――――――――――――□■■

(パソコン版)SSL証明書の見方

 「運営組織名」、「運営組織の所在地」を確認しましょう!

■■□―――――――――――――――――――――――――□■■

 

ブラウザーのアドレスバーの「鍵マーク」をクリック

②証明書をクリック

③[詳細タブ]のサブジェクトをクリック


運営者の情報の中に、「O:運営組織名」、「L,S,C:運営組織の所在地」があるか確認

 

f:id:yougo-school:20180703163846p:plain

 

■■□―――――――――――――――――――――――――□■■

スマホ版)SSL証明書の見方

 「運営組織名」を確認しましょう!

  ~スマホ(Andoroid) ブラウザーChromeの場合

■■□―――――――――――――――――――――――――□■■

 

(注)SSL証明書、パソコンでは全ての情報がみられますが、スマホでは「運営組織の所在地」が確認できませんでした。

 

ブラウザーのURLの左の[鍵マーク]をタップ

 *もし、[鍵マーク]が無い場合は、そのサイトは利用しないほうが無難です

②次画面の[詳細]をタップ

③[証明書情報]をタップ

[組織(O)]があればOK!

 

Yahoo! JAPANの例]

f:id:yougo-school:20180703163919p:plain

 

f:id:yougo-school:20180703163926p:plain

 

■■□―――――――――――――――――――――――――□■■

Webサービスを活用したSSL証明書の確認

 「運営組織名」、「運営組織の所在地」を確認しましょう!

■■□―――――――――――――――――――――――――□■■

 

セキュリティソフトの大手、シマンテック(Symantec)が提供する「SSL Checkerサービス」を利用すると、簡単にSSL証明書を確認できます。

 

SSL Checker | シマンテック(Symantec)提供 https://cryptoreport.websecurity.symantec.com/checker/

 

①チェックするサイトのURLを入力

②[CHECK]クリック

③「運営組織名」、「運営組織の所在地」を確認

 

f:id:yougo-school:20180703163953p:plain

f:id:yougo-school:20180703164006p:plain

 

■■□―――――――――――――――――――□■■

《補足》サイトの運営者を証明する「SSL証明書」とは

■■□―――――――――――――――――――□■■

 

この「SSL/TLS」には「SSL証明書」という、サイトの運営者を証明するものがあり、SSL証明書を見ることで、ホームページの運営者を確認することができます。

 

ただし、SSL証明書は簡単に発行できるものもあり、フィッシング詐欺に使われてしまう可能性がありました。この状況を解決するために考えられたのが、「EV SSL証明書」です。

 

下記に「SSL証明書」について、分かりやすい説明があったので、これを参考に紹介します。

SSL/TLS証明書、その特性について – カスペルスキー公式ブログ https://blog.kaspersky.co.jp/certificates-are-different/20273/

 

SSL証明書には、信頼性、入手者とその方法、価格に応じて、次の3種類があります。

 

ドメイン認証証明書(DV証明書)・・・信頼性が低い

証明書を入手するには、対象となるドメインを所有していること、またはそのドメイン上でサイトを管理していることを証明する必要があります。ただし、証明書を所有する組織に関する情報は含まれません。また、書類を提出する必要がないため、DV証明書の取得にかかるのは数分程度です。

証明書に記載されているサイトの運営者の情報も少ないです。①CN(コモンネーム)しかないサイトもあります。これでは、誰が作ったサイトか分からないので信頼がおけません。

 

 [証明書のサブジェクトの内容]

 ①CN(コモンネーム)

 ②OU(部署名)

 ③C(国/地域名)

 

 

②企業認証証明書(OV証明書)

 

ドメイン認証証明書よりも1つ高いレベルに位置付けられます。これは、ドメインへの接続が保護されていることを証明するだけでなく、そのドメインが証明書に明示された組織に実際に所属していることを示します。申請書類の確認と証明書の発行には、数日かかります。

証明書にはサイトの運営者の情報(運営組織名、所在地)がしっかり記載されています。

 

 [証明書のサブジェクトの内容]

 ①CN(コモンネーム)

 ②OU(部署名)

 ③O(運営組織名)

 ④L(運営組織の所在地-市区町村)

 ⑤S(運営組織の所在地-都道府県)

 ⑥C(運営組織の所在地-国)

 

③Extended Validation証明書(EV証明書)・・・最も信頼性が高い

 

信頼が最も高い証明書です。OV証明書と同様に、必要な申請書類をすべて提出した法人だけが、この証明書を取得できます。EV証明書を取得した組織のWebサイトの場合、ブラウザーのアドレスバーには緑色の錠アイコンが表示され、組織の名称と所在地が緑色で表示されます。

証明書にはサイトの運営者の情報として運営組織名、所在地に加え、法人設立直轄地が記載されています。

 

 [証明書のサブジェクトの内容]

 ①CN(コモンネーム)

 ②OU(部署名)

 ③O(運営組織名)

 ④STREET(運営組織の所在地-町名・番地)

 ⑤L(運営組織の所在地-市区町村)

 ⑥S(運営組織の所在地-都道府県)

 ⑦C(運営組織の所在地-国)

 ⑧法人設立直轄地-国

 ⑨法人設立直轄地-登録番号