フィッシング攻撃から企業サイトを守るためには

「フィッシング詐欺」をご存知ですか？言葉は聞いたことはあるかもしれませんが、フィッシング詐欺について本当に理解しているでしょうか。

2012年9月にフィッシング詐欺による攻撃を受けたサイトは300件を越えました。（EMC ジャパン株式会社の調査による）フィッシング詐欺で被害を受けるのはネットバンキングなどの利用者だけだと思っていませんか？実は、攻撃を受けた企業側も大変な損害を被っているのです。

あなたの企業サイトは本当に大丈夫でしょうか。インターネットを利用したシステムは、被害を受けないことも大切ですが、セキュリティの知識がないと知らない間に加害者になってしまうこともあります。フィッシング詐欺の加害者にならないために、有効な対策であるSSL（Secure Socket Layer）の導入について紹介していきます。

フィッシング詐欺とは

フィッシング詐欺の手口について知らなければ、その対策を施すことができません。ここでは、フィッシング詐欺の手口とその危険性について紹介します。
多くの手口は、金融機関などからのお知らせのふりをしたメールを利用者に送りつけます。「確認のお知らせ」などと偽り、メール内に書かれたリンクをクリックさせます。そのリンク先は、本物のサイトにそっくりな偽サイトになっており、そこに利用者を誘導します。そのサイトではクレジットカード番号や口座番号などの個人情報を入力するよう促し、入力された情報を盗み取ります。このようにして偽サイトを作成し、個人情報をだまし取る詐欺をフィッシング詐欺といいます。

フィッシング攻撃を受けるサイトは急増

現在では、金融機関だけではなく企業のショッピングサイトや、SNSなどの会員制サイトもフィッシング攻撃の対象になることが増えてきました。なぜ、これらのサイトが攻撃の対象となるのでしょうか。最大の理由は、多くの利用者が、ショッピングサイトなどで使用しているメールアドレスやパスワードを、金融機関のサイトでも使っているからです。そのためショッピングサイトやSNSの偽サイトを作成して、利用者からメールアドレスとパスワードをだまし取ろうとする手口が増えているのです。

フィッシング攻撃にどう対処すればいいのでしょうか

企業のショッピングサイトやSNSサイトがフィッシング攻撃を受けると、大事なお客様の個人情報がだまし取られてしまいます。つまり、フィッシング詐欺を放置しておくことは企業の信用を失墜させることに他なりません。
それではどのような対策を立てればよいのでしょうか。ひとつは、フィッシング詐欺に対するお客様への啓発です。「当社がメールでお客様のIDやパスワードを確認することはありませんので、このような問いかけのメールには注意してください。」などの文面をメールに入れておくことや、「当社になりすましたメールやサイトを発見した場合はご連絡ください。」といった注意書きを入れておくのもよいでしょう。
また、偽サイトを発見した場合は、偽サイトを停止してもらうようプロバイダに働きかけなければなりません。しかし、偽サイトは海外のサーバで作成されることも多く、日本国内の機関では対応できないことが多いのです。そこで、国際的なセキュリティに関する調整機関として日本のJPCERTに依頼するという方法があります。

JPCERTは、日本のセキュリティの国際窓口として世界各国の機関との連携、調整を行っています。
JPCERTは各国のセキュリティ機関と調整して日本の金融機関の偽サイトを停止した実績があります。ただし、JPCERTには強制力がないため必ず偽サイトを停止できるわけではありません。
これだけの対策をとっても根本的な解決にはなりません。そもそもお客様は本物サイトと偽サイトをどこで見分ければいいのでしょうか。サイトのURLで見分けられるという方法もあるのですが、最近は詐欺の手口は巧妙化しています。本物のURLを入れても偽のサイトに飛ばされてしまうファーミングという手口もあります。インターネットにはURLからサーバの宛先であるIPアドレスを指定するDNSという仕組みがあります。このDNSサーバを不正に書き換えられてしまいますと、本物のURLを入れても偽のサイトに誘導されてしまうのです。こうなるとURLだけでサイトが本物かどうか判断することはできません。このようなケースの対策である、SSLという仕組みを解説します。

SSLの仕組みは大きく２つ

SSLの仕組みは大きく２つあります。ひとつはお客様のPCとサーバ間の通信を暗号化することです。これにより、お客様がサイトから個人情報を入力しても情報を盗み見されないため、セキュリティが高まります。もうひとつは、電子証明書という機能です。電子証明書は「このウェブサイトは本物のウェブサイトである」ということを証明する仕組みです。電子証明書の内には、「○○社が運営しているサイトで、URLはXXXである」ということを証明する情報が書き込まれています。この証明書のことを「サーバ証明書」と呼びます。サーバ証明書は、信頼できる第三者機関が発行しています。この第三者機関のことを「認証局」といいます。サーバ証明書をウェブサイトに設置すれば、このサイトは偽物でないということを証明できます。
ウェブサイトを閲覧するお客様はサーバ証明書を確認すれば、そのウェブサイトが本物かどうかがわかります。

ブラウザでURLにhttps～でアクセスしますと、電子証明書が発行されているウェブサイトのアドレスバーにカギのアイコンが表示されます。このアイコンをクリックするとサーバ証明書が表示されます。これでサーバ証明書を確認することができます。

SSLサーバ証明書の取得

SSLサーバ証明書の取得方法や費用はそれぞれの認証局によって異なります。

基本的にSSLの電子証明書は１つのサイトに１つ発行されます。もし、複数のサイトで設置するならば、複数の電子証明書が必要になります。それぞれの認証局で、複数サイトで電子証明書を発行する方法がありますので、そちらを参照してください。 また、SSLの電子証明書には通常の電子証明書とEV-SSL証明書という2種類があります。EV-SSL証明書を取得するためには通常の電子証明書と比較して、厳格な審査が必要です。主に、EV-SSLは金融機関で利用されています。

EV-SSL証明書を導入したサイトは、ブラウザのアドレスバーが緑色に変化して、利用者にわかりやすい表示になっています。

まとめ

今回は、フィッシング詐欺やSSLについて以下のことを説明しました。

フィッシング詐欺の加害者にならぬよう、SSLの導入やセキュリティ診断サービスを活用し、ホームページの安全性を高めましょう。