httpsのページが表示されていても信用してはいけません。フィッシング詐欺もそこまで来ているという。既存のSSLサイトが乗っ取られて、それを悪用しているフィンシング詐欺が出現してきているのだという。

「鍵マークが出ても過信は禁物」、SSLサイト悪用のフィッシングが急増(ITpro)

　現在では個人登録やショッピングのページではSSLに対応していないようなページは、ほとんどなくなった。いくら名前の知っているサイトでもSSLに対応していないページでは信用がおけないから、入力するようなことはなくなった。ところが、だからといってSSL対応ページが表示されるからネットの向こう側が詐欺の相手ではない、という保証もないということになりそうだ。

　そもそもSSLの仕組みの役割としては、第三者認証としてネットの向こうの相手が本物であることをベリサインなどの権威づけられた第三者が保証するというものである。もう１つは実質的な役割として、SSLでHTTPのパケットを暗号化して、パスワードなどの内容を含めて通信を安全にすることである。

　ところがSSL対応ページが現れても、相手は必ずしも信用できませんとなると、SSLの第１の役割は目的を果たせないことになりそうである。暗号化だけだったら、わざわざベリサインなどからの認証を受ける必要もなくなってしまう。ベリサインは当該サイトが乗っ取られているかどうかまでは認識できるわけではない。ブラウザの右下に表示される鍵マークが、むしろフィッシングに引っかかることを助長することになるわけで、皮肉な話になる。

　認証を受けておきながらWebサーバーを乗っ取られる組織のセキュリティ対策の体制も問題だが、さてユーザには気を付けてくださいとはいうものの、どうすればいいのか。SSLだから大丈夫と条件反射で信用することなく、改めてURLを確認してくださいというが、認証ページだけ別サイトのアドレスに飛んでいる場合も少なくない。少なくとも楽天だのAmazonだのと知られたサイトはよいが、多くは新規のサイトに登録するケースである。正規のサイトにしても、さんざん宣伝文句であおった後で登録をさせるようになっている。つまり「わくわく」して気分が高揚しているときに、登録作業、購入作業する場合が多い。そのときに、より慎重にURLもよく確認せよというのは、一般人にとっては案外難しいものかもしれない。フィッシングとはまさにこうした人間の一時の心理を巧みに衝いてくるものといえるのだろう。

　SSLのページにはなっていなかったが、先日マイケル・ジャクソン追悼式の映像の情報を探していたとき、たまたまフィッシングのページに誘導された。ご丁寧に各国語に訳された通知ページになっている。マイケル・ジャクソン追悼の話題へのアクセスに便乗したフィッシングも横行しているようである。賞金が当たったから、賞金の送付先を教えて下さいと、個人情報を入力させようというものである。これなどもSSLで、連絡先ばかりでなく、賞金の振り込み手数料としてクレジットカード番号や銀行の口座番号も入力してください、などとあれば世の中には騙される人もいるものなのかなと思えた。そういうことを言ったら、ある人に「１万人に１人でもいたら大成果になるんだよ」と言われた。確かにWebだと偽の賞金当選通知の大量配布にコストはかからないものである。

賞金当選通知のフィッシングのページ