正規のサイト証明書が詐称される
新たなフィッシングサイトが登場したようだ。
米WEBSENSEなどによると、WEBサイトのSSL用に発行されたサイト証明書(デジタル証明書)が、実在するサイトに似た名称のドメイン名で取得され、フィッシング目的で公開されていることを確認した模様。
サイト証明書は、CA(認証局)が発行するもので、通常、取得には企業の場合、登記簿や第三者機関に登録されている住所とドメインの登録住所が一致しているなどの審査の後に発行されます。
しかし、最近では、メールのやり取りや簡単な手続きのみで取得できる業者が現れるなど、CA(認証局)の信用問題が出てきているようです。
このような状況化、WEBサイト管理者としてはどのような対策があるのでしょうか?
サイト利用者の立場では、フォーム入力ページで必ずサイト証明書(ブラウザの右下に表示される鍵マーク)の内容を確認し、名の通っているCA(認証局)の証明書であることを確認するということで対策は可能ですが、海外のサイトなどでは、どこまで確認できるかにやや不安が残ります。
サイト管理者としては、「ITPro」の記事にもあるとおり、フィッシングの手口でよく使われる、HTMLメールを使ったメールマガジンの発行を取りやめたりすることで利用者へ注意喚起することができます。
とはいえ、CA(認証局)が証明した「サイト証明書」の確認を、フィッシング対策の核にしている現状を考えると、サイト管理者としては、対策が非常に難しくなってきているといわざるをえないでしょう。
【参考サイト】
●“本物”のSSL証明書を持つフィッシング・サイト出現【ITPro】
●「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告 【ITPro】
【有名どころCA(認証局)】※こちらも似た名称に注意?
●日本ベリサイン
◇この記事が参考になりましたらこちらをクリック ≫ 人気blogランキング
◇「『うぇっぶ』のはなし」へのコメント募集中 ≫ ビジネスブログランキング100選
| 固定リンク
「Webデザイン」カテゴリの記事
- めちゃ笑えるFlashMV「おしりかじり虫」(2004.04.04)
- 『SEO』ってなんだ??(2004.04.08)
- SEOとCSS(2004.12.07)
- SEO対策的コンテンツの構造化(2004.12.07)
- HTMLの文法 間違っていませんか?(2004.12.08)
コメント