アドレスバーでわかるWebサイトの安全度
Windows Vistaを使っている人は、Internet Exproler(IE) 7でオンラインバンクやショッピングサイトなどを開いたとき、突然アドレスバーが緑色になったり赤くなったりするのを目にしたことはありませんか? ⇒試しにココにアクセス!
実はこれ、Webサイトの安全性を教えてくれる新しい仕組みなのです。IE7で「フィッシング詐欺検出機能」を有効にしていると(※)、Webサイトの危険度を赤色や黄色で通知します。そして、信号と同じようにアドレスバーが緑色に変わったら「安全、進め」のサイン。この緑色になるWebサイトには、「EV SSL」(イーブイ・エスエスエル)という新しい認証方式が使われており、安心して利用できるサイトであることを示しているのです。もし、オンラインショッピングに不安がある人でも、アドレスバーが緑色になるサイトなら大丈夫。安心して買い物をすることができます。
一方、赤色や黄色に変わったら要注意。赤色はWebサイトが偽物あるいは安全性に問題があることを、黄色は偽物サイトである可能性が高いことを示します。こうしたWebサイトでは、危険なので、IDやクレジットカード番号といった重要情報は入力しないようにしましょう。
あまりお目にかかる機会はないかもしれませんが、フィッシング詐欺サイトの疑いがある場合は、アドレスバーが黄色に(画面は、IEBlogのもの) |
※ IE7の<ツール>メニュー→<フィッシング詐欺検出機能>→<自動的なWebサイトの確認を有効にする>を選択する。
フィッシング詐欺サイトに要注意!
IE7にこうした仕組みが備わったのには理由があります。Webサイトで多様なオンラインサービスを利用できるようになった一方、大切な個人情報が盗み取られたり、経済的な損失を被ったりする危険性が高まっているからです。
その危険性は、Webサイトが本物か偽物かを見分けるのが難しいことに起因します。はじめて訪れるお店で買い物をする場合を例に考えてみましょう。現実の世界なら、実際の店舗に出かけて商品を見たり、店員と話したりしながらショッピングしますよね。当然、そのお店が実際に存在することを確かめられるわけです。しかし、インターネット上のショッピングサイトでは、そうした確認ができません。サイトに運営者の名前や事務所の住所などが書かれていても本当とは限りません(ウソを書くことだってできますよね)。サイト内フォームから住所/氏名/クレジット番号などを送信したとして、その情報が誰の手に渡るのか? それすらまったくわからないのです。
実際、こうしたサイトの真偽を見極めにくい問題を利用した犯罪が起きています。そのひとつが、フィッシング詐欺です。犯罪者が、実際のオンラインバンクやショッピングサイトと本物そっくりの偽物サイトを作り、そこに利用者を呼び寄せてIDやパスワード、クレジットカード番号などを入力させ、盗み出すというもの。とくに欧米での被害が深刻になっています。日本では大きな被害はないものの、時折、有名企業のWebサイトを真似た偽物サイトが出現する事件も起きており、油断は禁物です。
そこのWebサイトは実在する? 運営者は信用できる?
送信する情報が誰の手に渡るのかわからない状況では、Webサイトを安心して利用できませんよね。そこでインターネットには、Webサイトとユーザーが安全に通信するための仕組みが用意されています。それが「SSLサーバ証明書」です。
SSLサーバ証明書とは、いわばWebサイトの「身分証明書」。Webサーバを所有・運営している団体や人間が明らかにいることを証明するものです。Webブラウザのステータスバー(ウィンドウ下部の表示部)などに、「鍵マーク」が表示されることがありますよね。基本的に鍵マークが、そのWebサイトがSSLサーバ証明書を持っていることを示しています。
その証明は「認証局」と呼ぶ第三者によって行なわれています。認証局はWebサイトの運営者の要請に基づき、運営者が本当に存在することを審査し、SSLサーバ証明書を発行します。こうした業務を世界中で行なっている企業のひとつにベリサインがあります。
そして、このSSLサーバ証明書を持つWebサイトとの間では安全に情報をやりとりできます。利用者のコンピュータ(Webブラウザ)とWebサイトの間の通信データは暗号化され、万が一そのデータが盗み取られても中身は解読される心配はありません(おそろしく長い時間をかければ解読できますが、その頃はアナタも盗んだ人間も生きてはいないでしょう)。つまりSSLサーバ証明書とは、相手(Webサイトの運営者)の存在を「保証」し、かつ暗号化による「安全」な情報通信を実現するものなのです。
SSLサーバ証明書の有無は、先に説明したように鍵マークの表示で確認できます。鍵マークは「送信した情報が誰の手に渡るかわからない」という危険に対し、最低限の措置がとられていることを示す印といえます。
グリーンバーを実現するEV SSLの登場
さて、冒頭で紹介したEV SSLサーバ証明書ですが、そのSSLサーバ証明書を拡張したものです。Webブラウザに鍵マークを表示するだけでなく、アドレスバーを緑色に変えて認証局の名前も表示するようにします。「グリーンバー」という仕組みで、Webサイトの安全性がひと目でわかるように改良されているわけです。
証明書自体の信頼性が高まっている点もポイントです。SSLサーバ証明書は各認証局が独自の審査基準で発行していますが、EV SSLサーバ証明書は、どんな認証局であっても世界で統一された業界標準の認証基準をクリアしないと発行されません。実は現在、SSLサーバ証明書を"カンタンに"発行してしまう認証局が問題になっています。簡易的な審査で発行されるため、SSLサーバ証明書の信用が揺らいでいるのです。これでは、一般消費者も「鍵マーク=安全サイト」とは思えなくなってしまいます。この問題を回避するためにも、発行手続きをより厳格化したEV SSLサーバ証明書を定め、これまで以上に信頼性の低いサイトや偽物サイトが作られにくい環境を整備する必要があったわけです。
こうした利点が認知されるにつれ、EV SSLサーバ証明書を取得するWebサイトが増えています。すべてのユーザーが「グリーンバー」による安全確認が行なえるわけではありませんが、Windows Vista+IE7が基本的な対応環境で、最近ではFirefox 3がEV SSLに正式対応しました。他のWebブラウザも同様の動きを見せています(詳細は下の表を参照)。
「このサイトで買い物しても大丈夫? 個人情報を送っても問題ない?」と思ったとき、Webサイトの安全性を確認する手段は、鍵マークからグリーンバーへと変わっていきそうです。
おもなWebブラウザのEV SSL対応状況
ブラウザ | EV SSL対応状況 |
---|---|
Internet Explorer 7 | 対応。アドレスバーの背景色が緑色に変わり、右端にウェブサイトの運営組織名が表示される。Windows XP環境では「ベリサイン EV Upgrader」を導入すれば対応(ただし認証局がベリサインの場合) |
Firefox 3 | 対応。アドレスバーの左側一部が緑色に変わり、ウェブサイトの運営組織名が表示される |
Opera 9.5 | 対応。アドレスバーの右側一部が緑色に変わり、ウェブサイトの運営組織名が表示される |
Safari 3.1 | 非対応。鍵マークのみ表示 |
次回は、SSL/EV SSLの仕組みについて説明します。
(イラスト:ショーン=ショーノ)