信頼できるフィッシングサイト？

Webサーバと、Webブラウザ間での通信を暗号化する仕組みがSSLでしたね。

でも、いくら通信を暗号化しても、通信先の相手が信頼できるものでなければ意味がないですよね。

その相手、つまりWebサーバの身元を証明してくれるのが「サーバ証明書（デジタル証明書）」です。

具体的には、ベリサインやジオトラストといった第三者機関が、そのWebサーバに対してサーバ証明書と呼ばれるものを発行します。

その証明書を持つWebサイトに接続した時、ブラウザは信頼できる証明書だと判断し、全く警告を出さずにSSL通信を開始するわけです。

もし信頼できない証明書であれば、ブラウザに警告画面がでますので「怪しい」と判断することができます。

ですので、この証明書の仕組み（PKI）を使えばフィッシング詐欺なども、防げると信じられてきましたが、最近はその考えを覆す例が出てきていますね。

■フィッシャーもSSL証明書を取得する、SANSが注意呼び掛け

サーバ証明書も実はいくつか種類があって、ちゃんと担当者からの書類を受け取って１週間くらいかけて審査をする場合もあれば、電子メールアドレスが確認できればすぐに発行されるものもあります。

後者の証明書は、本人確認をきちんとしているわけではないのでフィッシング詐欺業者も簡単に取得できてしまいます。

しかも、ブラウザには何の警告も出ないので、すっかり安心してフィッシングに引っかかってしまう可能性があるわけなんですね。

これまで、ブラウザに警告が出るかでないかだけで、信頼できるかどうかを確認していた人は気を付けてくださいね。

とりあえず、カード情報や重要な情報を送信する場合、今までのブラウザの鍵マークの確認だけじゃなく、アドレスバーを見て、自分がどこに接続をしているかをちゃんと確認してくださいね。

フィッシング業者は、本物のサイトと似たアドレスを使っているケースがありますので、その点にも十分注意をしましょう。