セキュリティガイドTOP

• 企業の「迷惑メール対策」導入のコツ
  増えつづける迷惑メール（スパム）は迷惑メール自動判定ツールを使ってらくらく対処

• 今や常識のSSL暗号化通信を 再確認
  「SSL暗号化通信で防げる危険」

• フィッシング詐欺からあなたの顧客を守る
  「デジタル証明書」

• 1年間で47時間を浪費
  ウイルスより対応が複雑な「迷惑メール」の脅威

• 社会を揺るがすウイルス
  「加害者」にも「被害者」にもならないためには？

• データセンター/セキュリティアップ
  あなたのサイトはどこにあるの？「データセンターの品質は企業セキュリティアップにつながります！」

• 不正アクセスから情報を守る
  「今スグできるアクセス制限対策」

最近よく耳にする「フィッシング詐欺」とはどんな犯罪なのでしょうか？その内容を理解し「フィッシング詐欺」の危険からあなたの顧客を守りましょう。

▼「フィッシング詐欺」とは？ ▼フィッシング詐欺による企業のリスクと対策 ▼信頼できないデジタル証明書もある！？

「フィッシング詐欺」とは？

フィッシング詐欺とは、インターネットを悪用した詐欺です。実在する銀行やクレジットカード会社になりすまして、不特定多数にメールを送り、本物そっくりに作った偽者のホームページへアクセスさせます。そこで本人確認などの理由で、クレジットカード番号やパスワードなどを入力させ、その情報を盗み取るという詐欺です。

その手口は巧妙で、ブラウザのアドレスバーを隠したり、URLの表示をJavaScriptなどを利用して偽装したりということまで行われています。欧米では既に多数の被害が報告されており、2004年度の被害額は全世界で5兆円にものぼるといわれています。

日本でも被害が急増しており、実際にクレジットカード番号をフィッシング詐欺の手口により取得され、現金が引き出されるなどの被害も報告されています。つまり、ユーザー1人1人の行動にゆだねられるところが大きいのです。

フィッシング詐欺による企業のリスクと対策

フィッシング詐欺はエンドユーザーだけでなく、企業にも大きな脅威です。フィッシング詐欺により汚されたブランドイメージの回復にかかる費用と時間は膨大です。更にこういった傾向が続けば、オンライン取引全般への不信につながり、ネットビジネスの発展を妨げる大きな脅威です。

フィッシング詐欺の被害の大きい米国では、企業はすでに膨大な資金を投じてフィッシングで受けた被害の回復に務めています。企業として、サービス利用促進、顧客満足度の観点から、利用者の不安を軽減する対策を行うことが重要です。

ではフィッシング詐欺への対策として企業ができることにはどのようなことがあるのでしょうか？その一つは、デジタル証明書の導入です。デジタル証明書とは、サーバーに組み込んで利用する電子証明書で、「暗号化通信に必要なサーバーの公開鍵」「サーバーの運営者情報」「デジタル証明書を発行した認証機関の署名」が含まれています。

ユーザーは、ブラウザのアドレスバーに記載されているURLとデジタル証明書に記載されているURLが一致する事、デジタル証明書に記載された運営者情報に間違いが無い事を確認する事で、本物のサイトにアクセスしていることが判断できます。
最近では、証明書を導入していればアドレスバーが緑色に変色し、安全性が一目で識別できるという新しいデジタル証明書も提供されています。

信頼できないデジタル証明書もある！？

ここで注意しなくてはならないのは、デジタル証明書を発行することはパソコン1台あれば、誰にでも発行できてしまうということです。もちろん自分自身で、自分自身に発行することも可能です。したがって、第三者認証機関による発行でなければサイト運営者の実在性証明という意味は成しません。

しかし、メールのやりとりだけでデジタル証明書を発行する認証機関もあります。そのためインターネットには、実在しない企業に発行されたデジタル証明書も存在します。つまり、デジタル証明書そのものの信頼性が重要であり、その信頼性は証明書を発行する第三者認証機関（認証局）そのものの信頼性に依存するのです。

「誰に対して発行されるのか」「発行される相手をどうやって確認したのか」「不正な手段で発行されたりしないか」など、証明書を発行するためのポリシーを信頼できるかどうかです。

このように、それぞれの認証局が独自に定めた認証方法では、認証局自身の信頼性が問われるため、2007年には全世界統一の認証基準が定められた新しいデジタル証明書（EV SSL証明書）も登場しています。
認証局が、そのEV SSL証明書を発行する為には、必ずその認証基準に基いた実在確認を行わなくてはならないので、認証局によって不正に発行されるといった心配がありません。そのためEV SSL証明書を導入しているWEBサイトは、高い信頼性があるといえます。（→「EV SSL証明書」って何？）

最近“共有SSL”というサービスがあります。これは、レンタルサーバー会社等のサービスの1つで、同じサーバーに登録しているサイト運営者同士でデジタル証明書を共有するサービスです。
このサービスで共有するデジタル証明書は、共有SSLを提供するサービス会社のものであって、サイト運営者の証明ではありません。
したがって、ユーザーに対してサイト運営者の実在性の証明をすることはできません。

信頼できる第三者機関が認証し、かつ自社専用のデジタル証明書を導入することが、フィッシング詐欺対策には必要です。

	サーバー通信暗号化とデジタル証明書発行を実現するサービスラインアップ サーバセキュア化サービス WEB（HTTP）、メール（POP/SMTP）、FTPのSSL通信による暗号化とファーストサーバ認証サービスBIZCERTを発行。 ドメイン認証型デジタル証明書取得代行サービス WEB（HTTP）のSSL通信による暗号化とクイックSSL認証をグローバルサイン社から発行。 サイバートラストEVデジタル証明書取得代行サービス WEB（HTTP）のSSL通信による暗号化とサイバートラストEVデジタル証明書をサイバートラスト社から発行。 サイバートラストデジタル証明書取得代行サービス WEB（HTTP）のSSL通信による暗号化とサイバートラストデジタル証明書発行。 ベリサインEVデジタル証明書取得代行サービス WEB（HTTP）のSSL通信による暗号化とベリサインEVデジタル証明書をベリサイン社から発行。 ベリサインデジタル証明書取得代行サービス WEB（HTTP）のSSL通信による暗号化とベリサインデジタル証明書発行。 デジタル証明書　BIZCERT WEB（HTTP）のSSL通信による暗号化とファーストサーバ認証デジタル証明書発行。