発端は気象庁発表のフィッシング詐欺注意喚起告知

気象庁は2019年11月6日に「気象庁の報道発表を装ったメール」に対する注意喚起をWebサイトやTwitterで行ないました。
気象庁の発表では、偽メールは「津波と地震の『早期警報モバイルアプリ』が開発され、そのアプリをダウンロードすると地震活動の開始後、数秒以内に携帯電話やパソコンに通知が届く」という内容で、アプリのダウンロードサイトへのURLリンクがあるということですが、リンクをクリックしてダウンロードしてしまうと、個人情報の流出や金銭的な被害につながる恐れがある、とのことです。
そして、気象庁は「不特定の方にアプリ等の配布やダウンロードを促すようなメールは発信していません。メールに不審なリンクがある場合はアクセスしないようご注意ください」と注意喚起をしています。

この件自体はごく一般的なフィッシング事例なので問題はないのですが、この件に対してAbemaTVの番組の「けやきヒルズ」で、2019年11月7日に放映された内容で、コメンテーターで東京大学大学院情報学環の大澤昇平特任准教授が、信頼できるWebサイトの見分け方のポイントは「ブラウザのアドレスバーに鍵マークがつき、緑色の表示がされたサイトは90%安全」という主旨のコメントをしたのです。
このコメントの内容に対して、ITセキュリティ関連の識者から、SNSを中心に「技術的に根拠がない」「一般の方に誤った印象を与えかねない発言」といった批判が集中し、内容の訂正・削除を求める事態となりました。
どうしてこのコメントが問題となったのでしょうか?

SSL証明書はもはや安全の目印にはならない
パスクリ通信でも過去にSSL証明書の実装による鍵マークの安全性について記事を掲載してきました。

>フィッシング詐欺サイトを見抜くポイントの1つは「鍵マーク」!(2017年5月12日掲載)

>鍵マークの本当の意味(前編)(2017年8月4日掲載)

>鍵マークの本当の意味(後編)(2017年8月11日掲載)

>鍵マークだらけになる日(2017年10月20日掲載)

しかし、この状況はすでに過去のものとなってしまったのです。
東大教授への批判が噴出したのは、現在の状況を正しく理解してないで、解説をしてしまったから。
現在では、ほぼ全てのフィッシングサイト、特に最近のフィッシング詐欺で使われるサイトは全てと言っていいほど、SSL証明書を実装し、鍵マーク付きで表示されるようになってしまっています
「Let’s Encrypt」 という正式なSSL認証局が提供している、無料で、誰もが簡単にSSL証明書を取得できるサービスが広まり、昨今ではフィッシング詐欺で使われるサイトもここでSSL証明書を取得して実装しているのです。

WebブラウザもSSL証明書の扱いを変えてきている
以前、安全なサイトの目印としてSSL証明書の最上位レベルのEV証明書のことを紹介しました。
このEV証明書を実装したサイトは、ChromeやFirefoxなどのブラウザのアドレス欄にSSL証明書の所有者名や国名が緑色で表示されていたのですが、「EV証明書の所有者名が、手続き方法次第で、実際とは異なる所有者名を表示できる不備が改善されないままになっている」ために、「ユーザーの役に立ってない」とブラウザメーカー側が判断し、最新バージョンのChromeやFirefoxでは、所有者や国名などの表示をなくし、URLを緑文字で表示することも止めるように仕様変更をしてしまったのです。(SafariやEdgeなどのブラウザは、2019年11月時点では、まだ緑色表示していますが、いずれアップデートによりなくなると思われます。)

ブラウザのEVレベルSSLの表示方法の変更

昨今の「フィッシングサイトの大半がSSL証明書を取得しているので、鍵マークの表示はサイトの真贋判定に意味を成さなくなった」という状況をうけ、Chromeではこの先のアップデートで鍵マークの表示すらやめてしまうようです。(証明書を実装していないサイトにはアクセスする際には警告を出すといった対策はしていますが)
この鍵マークは安全の目安にできない状況になってしまったため、前述の東大特任准教授の解説が、時代錯誤の認識、と叩かれているのです。

鍵マークは、あくまでもWebサイトの真贋を見抜くためのものではなく、そのWebサイトとの通信が暗号化されているかどうかを表すものと考えてください。

じゃあ、どうやって偽サイトを見抜くの?

鍵マークでは判断できないとなると、SSL証明書が導入されているサイトの真贋は、どうやって見抜くのでしょう?
それは「URLのドメインネーム部分をちゃんと見る」ことです。
ドメインメームとは、インターネットでの「住所」のようなもの。

・https://www.segunabe.com/
・https://www.google.co.jp/

上記URLの場合、赤字部分がドメインネームにあたります。ここがちゃんと、そのサービスや、サービスを運営している組織のものになっているかどうかを確認して利用しましょう。似た文字に置き換えられてたりする場合もあるので、注意してください。

もう少し紛らわしい例もひとつ挙げましょう。
・https://support.segunabe.com/
・https://support-segunabe.com/
上下の違いがわかりますか?

Webサイトのアドレス(URL)にはドメインネームの前にサーバ名(サブドメインと言います)をつけて使う場合もかなりあります。
wwwというサーバ名は特に一般的に使われていますが、大手企業などになるほど、多彩なサーバ名を使ったりします。
両者はかなり似ていますが、ドメインネームを赤字で表示させるとこうなります。

・https://support.segunabe.com/
・https://support-segunabe.com/

上は正しいせぐなべのドメインでのsupportという名のサーバになりますが、下はそれに似せた偽物ドメインネームです。
こういう違いも見分ける必要がある、ということです。
また、そのサイトのSSL証明書を確認してみて、そのサービスや運営組織のものになっているか確認するのもおススメします。この時、認証局が「Let’s Encrypt」だった場合は要注意です!
ちょっと古いですが、下記の記事で各ブラウザでの証明書確認方法を紹介しています。

>SSL証明書が導入されている偽サイトはこう見抜く!(2017年5月19日掲載)

インターネットの世界では、様々な状況の変化で、昨日安全だったものが今日は安全でなくなる、ということが起こりえます。
ですので、皆さんもセキュリティに関する情報は絶えず最新の動向を取り込むように心がけていきましょう。

ということで、セキュリティ情報を毎週お届けしているパスクリ通信を皆さんのお知り合いにもぜひ教えてあげてくださいね。 (^o^)/