1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. SSLの「鍵マーク」が出ても注意を?正規のSSL証明書を悪用したフィッシングに注意

SSLの「鍵マーク」が出ても注意を?正規のSSL証明書を悪用したフィッシングに注意

米国のセキュリティ対策企業シマンテック社は、正規のSSL証明書を使い、正規サイトを装ったフィッシング詐欺が増えているとして注意を呼びかけています。

「鍵マークが出ても過信は禁物」、SSLサイト悪用のフィッシングが急増(ITpro)
SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営(ITmedia)

記事によると、今回の手口は以下のようなものです。

(1)攻撃者はSSL証明書を取得したWebサーバーに侵入する
(2)侵入したサーバーにフィッシング詐欺サイトを設置する
(3)当該詐欺サイトにSSLの「鍵マーク」を表示させ、ユーザーに本物と信じ込ませ個人情報などを詐取する

こうした手口について、記事では、以下のようにSSLの鍵マークがユーザーを騙すポイントになっていると指摘しています。

・正規のSSL証明書を取得しているWebサイトでは、ブラウザーに「鍵マーク」が表示される
・ユーザーの多くは、「鍵マーク」の有無によって正規のWebサイトかどうかを判断する傾向がある

SSL証明書はあくまで、通信路の安全性を担保するもので、通信先のサイトが必ずしも安全であることを証明するものではありません。また、SSLの発行元を確認してもこうした詐欺の被害を防ぐことはできません。

こうした詐欺の被害にあわないためには、フィッシング対策ソフトなどの最新セキュリティソフトを導入することが一番です。

もちろん、差出人に心当たりのないメールは開封せずに廃棄することや、メール本文に記されたURLから誘導されたWebページでは、絶対に個人情報を入力しないことも大事です。

関連キーワード:

EV SSL

SSL

フィッシング

  • 【め】めったに クラッシュ するもんだ
  • カテゴリートップへ
  • リシッピング詐欺とは