Webの安全性を向上するとして期待されるEV SSL証明書。国内市場に登場しておよそ1年半が経過し、金融機関を中心に徐々に導入が進んでいる。実際には、どういった効果が期待されるのか。あらためて一般消費者や導入企業におけるメリット、および留意点を整理したい。
また、市場に浸透するにつれ、EV SSLには多くのプレイヤーが存在し、ゆえに絡み合って解決の糸口がなかなか見えてこない問題があることも明らかになってきた。
同特集では、そうした現状を数回にわたって紹介する。一回目となる今回は、EV SSLが登場した背景と一般消費者におけるメリットと留意点について、日本ベリサイン、マーケティング本部 マーケティング部プロダクトマーケティング プロダクトマネージャの阿部貴氏に話を聞いた。
■ フィッシング詐欺によってWebにまん延した不信感
|
日本ベリサイン、マーケティング本部 マーケティング部プロダクトマーケティング プロダクトマネージャの阿部貴氏
|
EV SSL証明書が登場した背景には、Webの危険性が高まったことがある。その最大の要因が、フィッシング詐欺だ。例えば、銀行Webサイトとまったく同じ見た目の偽サイトを作り、「システム変更に伴うユーザー再登録のお願い」などと、もっともらしいことが書かれたスパムメールからユーザーを誘導。偽サイト上でカード情報を入力させることで、それらをすべて盗んでしまうという手口である。
阿部氏によると、2007年12月の時点で、毎月2万5000以上の新しいフィッシングサイトが報告されたという。同氏は「これだけ作られるということは、作る側の費用対効果が大きい証拠」と話す。犯罪が組織化されたことで、おそらくはより効率的に利益を出すシステムが確立されてしまったのだろう。
フィッシング詐欺の恐ろしさを端的に示すものとして、2007年12月にGoogleで「厚生労働省」と検索すると偽サイトが1位に表示されたという話がある。キーワードによっては、検索結果のトップ10に複数の偽サイトが入り込むこともあるという。それらすべてがフィッシングサイトではないだろうが、偽サイトという意味では、もう誰がいつ触れてもおかしくないくらい当たり前に存在するようになっている。
こうしたことから、一般消費者の間にWebや企業への不信感がまん延していった。2005年の調査では、「企業がセキュリティ対策を十分に行っていない」と感じる者が84%、「オンラインショッピングをまったく行わない」という者が24%に達したと報告されている。オンライン事業者にとってはすでに死活問題だったが、SSL証明書を導入したフィッシングサイトの登場が、さらに不信感を募ることになった。
■ SSL証明書の発行審査基準のあいまいさが問題に
SSL証明書の役割は大きく2つある。1つが暗号化通信の実現で、もう1つが通信相手の証明だ。SSL暗号化通信では、Webサーバーから送信される公開鍵を使ってデータを暗号化し、暗号化されたデータを受け取ったWebサーバーは、厳密に管理された秘密鍵を使って復号を行う。SSL証明書はこの暗号化通信を実現すると同時に、通信相手が意図したアクセス先のドメインと一致することを証明し、かつ、企業の実在性も保証してくれる。これらの仕組みによって、エンドユーザーは、正しい相手に通信途中で傍受されることなく、情報を伝達することができるのだ。
しかし従来のSSL証明書には、発行審査の基準があいまいであるという問題があった。SSL証明書に通信相手の証明という役割がある以上、その企業が本当に存在し、本当に正当であるか、厳密に審査されなければいけない。ところが例えば、小規模のショッピングサイトなどで「サーバー正当性の証明はいいから、とにかく通信の暗号化だけ行いたい」というニーズがあった際に、審査基準があいまいなために、簡単に応じてしまう認証局があった。
フィッシング詐欺師は、この基準のあいまいさを利用し、暗号化通信を実現するためだけにSSL証明書を導入したフィッシングサイトを作成するようになった。httpsページにおいては、まず証明書のエラーが出ないかを確認しなければならない。その上で、フィッシングサイトを見極めるには、Webブラウザのアドレスバーに表示されたURLが本物であるか確認し、次いでWebブラウザの下部に暗号化されていることを示す鍵マークが表示されているかを確認する必要がある。しかし、そうしたリテラシーは十分に広まっているわけではなく、ただ単に鍵マークが表示されているだけで、安心だと思い込んでしまうユーザーも多い。
そこで、フィッシング詐欺師はSSL証明書を導入して、鍵マークが表示されるフィッシングサイトを作成。鍵マークへの信頼を逆手に偽りの安心感を演出し、詐欺の成功率を高めようともくろんだ。実際にこの手口によってどれほどの被害が出たのかは定かでないが、こうした状況が伝わるにつれ、一般消費者のWebに対する不信感はますます募っていくこととなった。
■ 「厳格な審査基準」と「緑色の視覚的効果」を盛り込んだEV SSL
この不信感を払しょくするために登場したのがEV SSL証明書である。EV SSLでは、まず審査基準のあいまいさを解消するために、米国のCA Browser Forumという団体がより厳格な審査手順を策定。EV SSLを発行する企業はすべて、この手順に従わなければならないとした。
併せて、Internet Explorer 7(IE7)に搭載されたアドレスバー変色機能を活用し、EV SSL証明書が導入されたWebサイトで、アドレスバーが緑色に変化する仕様を盛り込んだ。視覚的にインパクトのある緑色を表示することで、エンドユーザーは、EV SSLで認証されていることが即座に分かる。
同氏によると、「グリーンバー表示・非表示の場合で、エンドユーザーの反応を調査したところ、100%のユーザーがグリーンバーが表示されていたことに気がついた」というので、視覚的効果という意味では功を奏したといえる。
また、このグリーンバーの横には、Webサイトの運営者名が表示される。緑色の視覚的効果とともに、Webサーバーの正当性を直感的に確認することが可能になった。運営者名をクリックすると、認証局名が表示され、証明書の詳細も確認できるようになっている。
|
グリーンバー。右側にはWebサイト運営者名が表示される
|
エンドユーザーが安全性を確かめるには、グリーンバーであることを見て、次いで、運営者名を確認すればよい。従来のURLを確認する方法では、正式なURLを覚えておかなければならなかったが、運営者名を表示してくれるEV SSLではその手間も省ける。
なお、日本ベリサインが国内800名のエンドユーザーに行った調査では、「87%が、オンラインショッピングを行う際は、可能な限りEV SSL証明書のあるWebサイトを利用したいと回答。そのうち21%が、EV SSL証明書のないWebサイトでは買い物をしないと答えた」(同氏)ということが判明。このことからも、エンドユーザーのEV SSL証明書への期待は大きいとうかがえる。
現状では、Windows VistaのIE7(以下、Vista IE7)、Windows XPのIE7(以下、XP IE7)、Firefox 3.0、Opera 9.5でグリーンバーに対応している。
|
|
|
IE7で表示したグリーンバー。アドレスバー全体が緑色になる
|
Firefox 3.0で表示したグリーンバー。アドレスバーの左側のみ緑色になる
|
Opera 9.5で表示したグリーンバー。アドレスバーの右側のみ緑色になる
|
■ 赤色になったらアクセスは即中止すること
EV SSL証明書で変化する色は緑色だけではない。状況に応じて、黄色や赤色に変化する場合がある。当然、その場合は、そのWebサイトを利用するのは危険だということだ。
赤色になるケースとしては、まずフィッシングサイトとしてブラックリストに載っている場合。こうしたWebサイトでEV SSL証明書を導入しても問答無用で赤色となり、なおかつ、運営者名の表示が「Phishing Website」となる。そのほか、「証明書の有効期限が切れていたり、認証元が不明な場合も赤色になる」(同氏)。
|
疑わしいWebサイトの場合、アドレスバーは黄色に変わる
|
|
赤色に変わったアドレスバー。右側には「Phishing Website」と表示される
|
従来のSSL証明書では、証明書のステータスに異常がある場合、ダイアログを表示してエンドユーザーに警告を促していた。EV SSLでは、本能的に危険を感じさせる赤色で、はっきりとリスクを示してくれる。リテラシーの低い一部のWebサイトでは、クライアント側で有効性を検証できない通称「オレオレ証明書」を利用し、証明書の異常を示す警告が出てもそれを無視するように指示しているところがある。本来、このような警告が出た場合、なりすましされた偽のWebサーバーへアクセスしようとしている可能性もあり、無視するのは危険な行為なのだ。EV SSL証明書の登場で、こうした証明書の乱用が防止できるかもしれない。そのためにも「赤色になったらアクセスは即中止する」(同氏)という認識を、エンドユーザーはしっかりと持つべきである。
なお「どんなときに黄色や赤色になるかは、Webブラウザベンダが定めており、完全に統一されているわけではない」(同氏)という。このため、同じWebサイトにアクセスしたとしても、Webブラウザの種類によっては黄色になったり赤色になったりすることがありえる。ただし、緑色になる条件については、「厳密に定められており、各ブラウザでほぼ差はない」とのこと。
■ グリーンバーを有効にするため、XP IE7で必要な設定
|
フィッシング詐欺検出機能をオンにする方法
|
|
オン・オフを切り替えるダイアログ
|
Vista IE7、Opera 9.5、Firefox 3.0では、グリーンバー機能はデフォルトでオンとなる。気をつけなければいけないのがXP IE7の場合。XP IE7では、以下の2つの設定を行わなければ、EV SSL証明書を導入したWebサイトにアクセスしてもアドレスバーは変色しない。
1)「ルート証明書」のアップデート
2)「フィッシング詐欺検出機能」のオン
1)は、Windows Updateでルート証明書を最新のものにすればよい。2)は、IE7で搭載されたフィッシングサイトをリアルタイムに検出する機能。Webブラウザのメニューの中から[ツール]→[フィッシング詐欺検出機能]→[自動的なWebサイトの確認を有効にする]を選ぶと、ダイアログが表示されオン・オフを切り替えることができる。
同機能では、ローカルに保存された正当なWebサイトリストと照合することでフィッシングサイトを判断する。リストに載っていないWebサイトにアクセスしたときに、同機能がオフになっている場合は、有効にするかどうか確認のダイアログが表示される。ここでオンにすることも可能。その後、ローカルリストに載っていないWebサイトにアクセスするたびに、マイクロソフトが保有しているリストとの照らし合わせが行われる。
また必須ではないが、「サーバー証明書の取り消しを確認する」という設定項目をオンにすることも推奨されている。これは、IE7に搭載されている、Webサイトの証明書が取り消されていないかどうかを確認し、取り消されている証明書を無効とする機能。Vista IE7では、性能に優れたOCSP(Online Certificate Status Protocol)に対応したためデフォルトで有効となっているが、XP IE7では、パフォーマンスの問題などからデフォルトでは無効となっている。これを有効にするためには、Webブラウザのメニューの中から[ツール]→[インターネットオプション]を選び、[詳細設定]タブ内の[サーバー証明書の取り消しを確認する]にチェックを付ける。
【お詫びと訂正】初出時、「サーバー証明書の取り消しを確認する」をオンにすることを必須としておりましたが、必須ではありませんした。お詫びして訂正いたします。
一般消費者側でグリーンバーを使う準備は着々と整い始めている。あとは、どれだけ企業のEV SSL証明書導入が進むかだ。そこで次回は、導入企業に視点を移し、厳格になった発行審査基準や発行に必要なもの、分かってきた意外な導入効果などを紹介する。
■ URL
日本ベリサイン株式会社
http://www.verisign.co.jp/
■ 関連記事
・ 見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第二回】(2008/08/21)
・ 見えてきた効果と課題、EV SSLでWebの安全性はどう変わる?【第三回】(2008/09/01)
・ 日本ベリサイン、EV SSL普及状況を説明-今後はケータイでもアドレスバーが緑色に?(2007/11/19)
・ EV SSLでアドレスバー変色機能を正しく活用するには?-日本ベリサインが説明(2007/04/12)
・ サイバートラストがEV SSLを説明-「鍵マークの信頼崩壊と同じ轍は踏まない」(2007/02/21)
( 川島 弘之 )
2008/08/12 10:56
|