FC2ブログ

デジカメを持って 西へ東へと・・・





個人情報を入力するWebサイトでは、個人情報の漏洩を防ぐ為に
Webブラウザに、鍵マークが表示されているのを確認する様にと
今迄は何度も教えて貰いましたが、先回行われたパソコンサークルの勉強会では
米国の政府組織である 「インターネット犯罪苦情センター(IC3)」は
今年の6月に、『Webブラウザのアドレスバーに鍵のアイコンあるいは「https」と云う
表示が有ると云う理由だけでWebサイトを信頼しないで下さい』と注意を呼びかけていて
「鍵マークが表示されていれば安全と云う、HTTPSの神話は崩壊した」と講師が話されて
今迄の常識が変わってしまい、小生は驚いてしまいましたが・・・



HTTPSに対応したWebサイトは、サーバー証明書をWebブラウザーに送信し
鍵のアイコン、あるいは「https」と云う表示が有ると云うだけで
WebサイトとWebブラウザー間の通信は暗号化されて通信の盗聴は防げますが
現在では、これだけではそのWebサイトが信用出来る事には成らず
実際、HTTPSに対応した偽サイト(フィッシング詐欺サイト)は多数出現していて
セキュリティーベンダーの米フィッシュラブズ(PhishLabs)に依れば
偽サイト全体に占めるHTTPS対応サイトの割合は、昨年の四半期には
49%に成ったと云われていて、凡そ半分のサイトがHTTPS対応の
偽サイトで有ったと云う現実を踏まえて、Webサイトが信頼出来なくなったと云う訳で
HTTPSに対応していても信用が出来ないのは、サーバー証明書には
「ドメイン認証(DV)」と「組織認証(OV)」、「EVSSL」の3種類が有って
その中でも「ドメイン認証(DV)」は、ドメインの所有者(管理者)で有る事だけを確認して
運営組織(企業)の有無を確認していないので、Webサイト運営組織が実在するかの確認が無く
特定の組織を名乗っていても実在するのか、信頼出来るかどうかが分からないにも係わらず
OV証明書やEV証明書と同じ様に鍵マークが表示されていて、また証明の取得料金も
無料~低額料金で簡単に取得出来る事から、人を騙す為に偽サイト(フィッシング詐欺サイト)が
「ドメイン認証(DV)」を取得して、HTTPSに対応したWebサイトを開設する様に成り
ますます、サイトの善悪判断が難しく成っていますが・・・



先回の勉強会では「フィッシング対策協議会」のHP内に在ります
ウェブサイトのセキュリティを確認するソフト「Check website security」の紹介も有りましたので
本日某ブログのhttpsアドレスをコピーし、このソフト内に張り付けてチェックをすると・・・



HTTPSに対応したサイトの中でも最も厳しい、実在確認等の審査を
「組織認証(OV)」よりも厳しく行う「EV(Extended Validation)」で有る事が確認出来ましたので
今後おかしいと思ったURLは、このソフトを使いサーバー証明書を確認して判断しようと思いました




2019.08.10 / Top↑