Enterprise

企業

2017.12.12 投稿者: ブログチーム

HTTPS対応のフィッシングサイトが多数発見される(2)

HTTPS対応のフィッシングサイトが多数発見される(2)

“JPCERT/CCでは、国内外において発生したインシデント(情報漏えい)事例について、3か月単位で情報をとりまとめています。今回は、2017年7月1日〜9月30日の期間に受け付けたインシデント報告の統計および事例を紹介しています。
              (中略)

また本四半期の特徴として、無料のSSLサーバ証明書、証明書が用意されるWebサイト作成サービス、CDNサービス等を使用し、「HTTPS」に対応したフィッシングサイトが多数発見されました。”

(「HTTPS対応のフィッシングサイト多数発見 JPCERTCC四半期報告」2017年10月17日 トレンドマイクロ is702)

HTTPS対応サイトを作るには、SSL証明書の取得に数千円〜10万円程度のコストが必要となる他、Webサイト運営者の身元や組織の確認などの条件があり、犯罪者には容易に利用しにくい状況がありました。

しかし、近年、無料のSSL証明書サービスが登場し、HTTPS対応サイトを作るハードルが下がったことが、不正サイトが増えた要因になっていると思われます。

HTTPS対応のフィッシングサイトによるトラブルを防ぐには、次のような対策が有効です。

  • オンラインバンキングなど、特に注意が必要なサイトの提供側は、独自のセキュアな手段を設ける。
  • ブラウザやセキュリティソフトを常に最新にアップデートする。
  • リンク先のURLやIPアドレスが正しいものかどうかを確認する。
  • アドレスバーに正規URLの画像が張り付けられていないか確認する。
  • SSLサーバ証明書の内容を確認する。

ユーザーのリテラシー教育を進めることも重要ですが、犯罪の手口巧妙化のスピードは早く、システム面での強固な防御体制を整えることが必要です。

アライドテレシスのSESには、パートナー企業のセキュリティベンダーと連携し、インターネットアクセス時のURLフィルタリング機能などの対策が用意されています。

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top