フィッシング詐欺対策にオススメのブラウザは「Firefox」!安全なEV SSLを使用したサイトを色分け表示可能

000

通販や銀行の偽サイトに誘い込んでパスワードを入力させ、アカウントを乗っ取ったりする「フィッシング詐欺」は、直接金銭的な被害に見舞われるだけに特に要注意のサイバー犯罪だ。重要なサイトのパスワードを入力するときは、表示しているサイトが本物かどうかをよく確かめてから入力するようにしよう。

しかし、アドレスバーに表示されているURLを確認するだけでは、十分に安全とは言い切れない。知らないうちに悪意のある者に細工をされたWi-Fiアクセスポイントに接続してしまっていて、通信内容を傍受・改竄されていたりする可能性があるのだ。

通信を暗号化してWebサーバにアクセスする「HTTPS」を使ったサイトなら安全かというと、そうとも限らない。HTTPSでは、暗号化に使われている鍵の正当性を保証するために「認証局」と呼ばれる機関から発行された電子証明書を使用するのだが、身元確認が杜撰な認証局が有害な偽サイトにまで証明書を発行してしまうことがあるのだ。
そこで、ガイドラインに従って厳格な身元確認を行なった上で発行する「EV(Extended Validation)証明書」という拡張規格が作られた。
まともな金融機関などは、ほとんどがEV証明書を導入済みのはずなので、ネットバンキングなどを利用するときはEV証明書が使われているかを確認するといいだろう。

パソコン用の多くのブラウザでは、HTTPSのサイトがEV証明書を使っているかどうかを色分けなどで判別できるようになっているが、Android用ブラウザにはEV証明書の判別に対応した物はまだ多くない。
Androidでネットバンキングなどにアクセスするときは、EV証明書のアイコンを色違いで表示してくれる「Firefox」を利用するといいだろう。
Firefoxは独自のレンダリングエンジンを内蔵しており、脆弱性があってもアプリのアップデートですぐに修正されるため、Android自体がアップデートされるまで脆弱性が修正されない標準ブラウザよりも脆弱性を狙った有害サイトの被害に遭いにくいという利点もあるぞ。

Firefox - Google Play の Android アプリ


001
Android版Firefoxでは、EV SSLのサイトを表示している場合は、アドレスバーの右の鍵のアイコンが緑色になる。


002
EVではない証明書を使っているHTTPSサイトでは、鍵のアイコンは青色表示となる。本物のサイトとよく似たドメインで審査の甘い認証局から証明書を取得して構築した手の込んだフィッシングサイトも存在するので、HTTPSが使われているだけで安心できない。URLのドメイン名(「https://」から次の「/」までの間の部分)を確認して、偽サイトでないかを確認する必要があるぞ。


003
このような警告が表示された場合は、通信傍受や改竄、成りすましなどが行なわれているか、サイトの管理がいい加減で証明書に不備がある可能性がある。「危険性を理解した上で接続するには」をタップし「サイトを表示」を押せば、サイトにアクセスすることは出来るが、個人情報や金銭を扱うサイトの場合はやめておいた方がいいだろう。

関連記事

2012年06月27日20時57分 公開 | カテゴリー: セキュリティ | キーワード: | Short URL
このエントリーをはてなブックマークに追加

最新記事