なぜSSL利用をケチるのか

Eメールから，真正なサイトになりすましたWebサイトに誘導し，IDやパスワードなどの情報を盗み取るのがフィッシングだ。フィッシングによる金銭的な被害は，国内でも2004年9月には発生している（関連記事）。それから1年以上が経つ。Webサイトにとって基本的なフィッシング対策の一つは，SSLをログイン画面から使うこと。しかし，この基本対策をなおざりにしているWebサイトがまだ多い。

SSLならアクセス先を確認できる

一見，暗号化のためのSSLとフィッシング対策とは，関係ないようにも思える。でも実は，SSLには暗号化のほかに，電子証明書で身元を証明するという機能も備わっている。Internet ExplorerなどのWebブラウザで，SSLを使用していることを示す鍵（かぎ）マークをクリックすると，電子証明書が表示される。利用者が意識してこの証明書を確認すれば，アクセス先がどこであるかが判別できるようになっている。

入り口からSSLが使われていなければ，メールなどで偽サイトに誘導されたときに，そこが真正なサイトであるかを検証できる手段がなくなる。 URLで確認する手もあるが，こちらは電子証明書に比べて信頼性が落ちる。真正なWebページと組み合わせてログイン画面を表示させるといった手口で， URLは正しく見せながら偽サイトに誘導することもできてしまうからだ。

今や重要な情報を扱うWebサイトは，SSLを使うのが常識。しかし，ログイン後はSSLを使うのに，ログイン画面の表示にはSSLを使用していないWebサイトが意外に多い。銀行のサイトではさすがに減っているが，Webメールやクレジットカード会社などにはまだある。そのようなサイトに限って，「ログイン時にSSLを使うのでIDやパスワードは暗号化されます」とわざわざ注意書きがあったりする。確かに注意書きのように，IDとパスワードを送るときにはSSLで暗号化されるのは事実。しかし，ログイン画面でSSLを使わなければ，偽サイトに誘導されたときにそれを知るすべがない。 [全文]