- 2019年4月26日
- トモダですけど
WEBブラウザで「南京錠マーク」がついてたら安全? HTTPSを悪用したフィッシングサイトってどういうこと?
昔買ったDVDBOXの作品がアマゾンプライムで配信されていてなんだかモヤモヤした気持ちになるトモダです。
さて、最近アメリカに本社を置くウェブルート社から、
自社ソリューションを活かしたセキュリティに関するレポートが発表されました。
分析を元にしたもろもろの数字を発表していてなかなか読みごたえがあります。
2019_Webroot_Threat_Report_A4_Japan.pdf
https://www-cdn.webroot.com/7715/5301/3268/2019_Webroot_Threat_Report_A4_Japan.pdf
※一次ソース
特にフィッシング攻撃についての記述が分かりやすく目を引くところでしょうか。
攻撃者が本物そっくりの偽サイトを作りECサイトを装ってメールして誘導、
本物のサイトでの手続きであるかのように見せて情報を入力させ、IDやパスワードを不正に入手しようっていう攻撃手法ですね。
各ニュースサイトの記事見出しにも使われていましたが、
2018年はフィッシング攻撃の件数が前年比で36%も増えたそうです。
フィッシングサイトの件数から計算しているみたいですね。
さらに記述がありましたが、フィッシングサイトではHTTPSが悪用されている例が多いようで、特定期間に存在するフィッシングサイトを調べたところ、その9割がHTTPSを利用していたようです。
抜けている単語を補うとすれば
「HTTPS(方式で通信することで表示されるブラウザ上の南京錠マーク)をフィッシングサイトが悪用」
と言ったところでしょうか。
本題
さて、今回はこの「HTTPSをフィッシングサイトが悪用」って表現を噛み砕いて説明したいと思います。どうやって悪用されているのでしょうか。
まずHTTPSとはなんぞやって所ですが、これは通信プロトコルの1つです。
他の通信プロトコルとしてはHTTPってのもあります。
サイトにアクセスしたときにアドレスバーの最初を見ると表示されてますね。
「http://」とか「https://」とかアドレスの頭についてる例のアレです。
そこを確認することでサイトとデータをやり取りするときにどんな通信方式でやり取りするかが分かるわけです。
(ちなみにHTTP”S”の”S”はSecureの頭文字で「安全」を意味し、
セキュアという単語自体は「よりセキュアに~」「セキュアな構築を~」
とか使われたりしますがそのまま「安全」と置き換えてしまってほぼ問題ないです)
HTTPSはHTTPと比べて通信を暗号化しているので、第三者が盗聴したり改ざんできない、保護された通信でやりとりしており、HTTPSが推奨されています。
郵便物で言ったらHTTPはハガキ、HTTPSは封書って例えられ方をよく耳にします。
ウェブブラウザ上ではHTTPSであることを分かりやすくするため、「南京錠マーク」が表示されていたりなんかしています。
(厳密にいうとサーバ証明書を取得している必要があります)
では、この「南京錠マーク」がブラウザ上で見えていたら安全なんでしょうか。
そのサイト自体を安全と判断して良いのでしょうか。
あなたの大事なクレジットカード情報や銀行口座、IDやパスワードをそのサイトに教えて良いのでしょうか。
答えはNOです。
「南京錠マーク」は通信プロトコルがHTTPSであることを表示しているだけです。
あくまでも保証しているのは通信しているときに誰かにのぞかれたりされないですよってことだけです。
そのサイトが安全であるかどうかは一切関係ありません。
相手に悪意があるかどうかは「南京錠マーク」を見ただけでは分かりません。
怪しい人かもしれないのです。
のぞかれない方法、封書(HTTPS)でやりとりすることが約束されているからって、怪しい人にクレジットカード情報や銀行口座やログイン情報のような情報を教えませんよね。
「南京錠マーク」を見て本物だと思い、大事な情報を渡すということはそういうことなのです。
「南京錠マーク」=安全っぽい というイメージをフィッシングサイトが悪用し、ユーザーに本物のサイトだと信用させる、そういうことが行われているということでした。
見た目だけの印象で判断をしないよう皆様ご注意下さい。
外見だけで判断して人を信用したらいけないよというお話しですね。
大事なのは外見じゃなく中身、そう中身なんですよ。