Webブラウザ別、SSLサーバ証明書の安全チェック方法(フィッシング対策協議会)
フィッシング対策協議会は、「各ブラウザによる SSL サーバー証明書の表示の違い」について発表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
具体的には、ドメイン名の登録権のみを確認して発行する「DV(ドメイン認証型、Domain Validation)証明書」、ドメイン名の登録権の他に、Webサイトの運営組織が実際に存在するかどうか、証明書の申請者がその組織に所属するかを審査した上で発行する「OV(組織認証型、Organization Validation)証明書」、OV証明書よりも厳格な審査(組織の法的な登録の確認など)を基に発行する「EV(EV認証、Extended Validation)証明書」がある。
ブラウザによって、証明書が有効であるかについての表示に違いがあり、同協議会ではその違いについて、ブラウザのアドレスバーのキャプチャで説明している。DV証明書とOV証明書には大きな差はなく、EV証明書については証明書を取得した組織名が表示され、そのサイト運営者との照合が容易になっている。
しかし、Android版の「Chrome」に関しては、DV、OV、EV ともにサーバー証明書による差はなく、アドレスバーの表示だけではどのサーバー証明書を使っているのか判断できない。また、これらの表示結果は、現状では各ブラウザによる独自の仕様であり、数カ月後あるいは数日後に表示が変わっている可能性がある。
同協議会の証明書普及促進ワーキンググループでは今後、定期的にこのアドレスバーの表示について情報を発信していくとしている。なお、サイト運営者について確認される情報が少なく、手続きも比較的容易なDV証明書を攻撃者が悪用目的で取得し、なりすましやフィッシングに使用するケースも確認されており、注意を呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
Windows DNS の脆弱性情報が公開
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
プルーフポイント、マルウェア配布する YouTube チャンネル特定
-
マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
OpenSSLにサービス運用妨害(DoS)の脆弱性