オンラインショッピングなどでIDやパスワード、クレジットカード番号を入力する時にまず確認するのがブラウザ下にある
「錠マーク」の「SSL認証」。これが信用出来なくなってきたみたいです。下の説明は長いですが、
まずはSSL認証についてです。
特にオンラインショッピングする人は、飛ばさないで見て欲しいですね。
インターネットは、相手と自分が一本の線で繋がっているわけではありません。
目的のサーバとのやりとりは、いくつものサーバを中継して届くしくみになっており、自分のLANの中でもモデム〜ルーター〜パソコンのLANポート〜ブラウザと経由して表示されます。
サーバを中継するという事は中継地点のサーバでデータを覗く事が出来ますし、電話の盗聴のように通信線に機械を挟んで盗む事が可能です。また、LANの中にコッソリと悪質な機器を取り付けて他のPCに流れるはずのデータを横取りして見たり、パソコン内でもスパイウェアが忍び込んで、ブラウザで表示される前にデータを横取りしてどこかに送信する事だってありえます。つまり、意外に盗聴するチャンスは溢れているという事です。また、
盗聴出来るという事は、なりすまし、データ改ざん等も出来るという事です。基本的にインターネット上にデータが流れる時は入力した内容やファイルがそのまま送信されます。例えば「藍旋です」という内容を暗号化されていない文章を送れば、途中の送信データも「藍旋です」という文字が送信されます。これを「
平文(ひらぶん)」といい、盗聴された場合はそのまま「藍旋です」というデータが見えるため、通信内容が筒抜けです。
その平文の反対が「
暗号文」といい暗号化して送信します。相手と自分のブラウザまでをSSLという暗号化する技術で暗号化して送信するため、途中で見られても大丈夫という物です。例えば「藍旋です」という内容を暗号化された文章を送れば、途中の送信データは「0hw&_zEz3%x」等という意味不明な文字が送信されます。これなら見られても大丈夫というわけです。
この
暗号化が行われているかどうかわかるのが錠マークという事です。いうまでもなく、お金に関わるサイトでIDやパスワード、キャッシュカード番号が盗聴しやすい状態なんて危険ですよね。だからこそ、上のような暗号化が必要というわけです。逆に、
お金に関わる所のログインなどで錠マークがない所は信用出来ないと言えます。これが通常のYahoo!のログイン画面です。錠マークはありません。ログインボタンの下の「SSL(https)」をクリックすると・・・
ブラウザ下にある錠マークがある状態、これがSSL暗号化中という状態です。
その錠マークをクリックするとこんな画面に。SSL 3.0というSSLのバージョン、128ビット暗号化などが表示されます。例えば128ビット暗号だと「現在の最高レベルのコンピューター環境が利用できたとしても、百京(けい。兆の1万倍を示す単位)年以上の時間がかかるという試算があるくらいです。」という説明があるぐらいです。そんなに掛かるはずはないんですけど、現実的に不可能という数字は実感出来ますよね。
上の証明書ボタンを押すと証明書が見れます。これはサーバ証明書(デジタル証明書)などと呼び、発行先がそのサイト(ページ)になり、発行者がサーバ証明書を発行した機関となります。発行者が公正な第三者機関であるほど信用出来るという事です。例えば「
VeriSign(ベリサイン)」等が有名で、「Secure Server Certification Authority」は
VeriSignの事みたいです。
ちなみに、「
DocWallについての追記」で書いた
オレオレ保証というものがあります。これは発行先と発行者が同一だというものです。つまり「私が私を信頼出来ると証明します」という証明書もあります。錠マークがあれば大丈夫という物ではないんですね。
(現在、
上記の会社はオレオレ保証にはなっていませんでした)
長い長い説明でした・・・さて、
基本的にSSLのサーバ証明書は、このサーバは第三者機関で証明された所・・・つまり、
かなり安全なサイトという位置付けになります。このサーバ証明書を採るためには身元を証明しないといけません。また、第三者機関から発行されていない場合や、発行先にあるサイトと実際のサイトが異なる場合はポップアップで警告が出てきます。なので、詐欺サイトには使いづらいんですね。
※かなりであって、絶対ではありません
ところが、こんな記事がでてきました。
この
安全の指標となるサーバ証明書が、電子メールのやりとりだけで取得出来るサービスが出現しているそうです。つまり、
身元証明としての機能が信用出来なくなってきているという事です。そして、これを使ったであろうフィッシング詐欺サイトが既に存在していて、そのフィッシングサイトのサーバ証明書は第三者機関から発行されたものらしいです。
「錠マーク=安心」の構図がガラガラと崩れ落ちてきましたね。。。また、ビックリしたのが
「再度アクセスすると、その場合は正式サイトに移動させるという詐欺サイトがある」ということです。
判りづらいですが・・・例えば、フィッシングメールなどでみずほ銀行の詐欺サイトに見に行ったとします。「なんか怪しくない?」と思って一度その画面を閉じたりした後に、もう一度見に行くと、短時間に再アクセスして来た場合は警戒されたと詐欺サイトが認識して、本当のみずほ銀行にジャンプさせるという仕組みです。その時は正式なサイトなので、調査をしても問題が発覚しないという事です。かなり手が込んでいますよね。こんなのあるんだ・・・と思って、驚いています。
正直、ココまで来ると、
どうすれば安全ですよと書くのは難しいです。
フィッシング詐欺に少しでも強くするには、面倒ですが、メールやバナー広告のクリックから通販サイト等にいかず、ブックマークやGoogle等で検索して正しいトップページからリンクして行くのが最良となります。
面倒ですが、1000円の商品を買うだけだから気にしなくていいよね!という問題ではなく、
個人情報やクレジットカード情報等を盗まれて100万円の損害にまで発覚する可能性があるという事を覚えておいて下さいね〜!!
