ホーム > mixiニュース > IT・インターネット > IT総合 > URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方

URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方

0

2019年08月20日 07:12  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真Safariのスクリーンショット。URLバーは緑色だが、組織名は非表示
Safariのスクリーンショット。URLバーは緑色だが、組織名は非表示

 2019年9月にリリース予定の「Google Chrome 77」で、ちょっとした……いや、かなり大きな変更が実施されます。それは、このコラムでも何度かフィッシング対策として紹介してきた「EV SSLサーバ証明書(以下、EV SSL)」の扱い。なんと、本物のサイトと偽サイトを区別する「URLバーの組織名表示」を無効にするというのです。



組織名はURLバーから消え、詳細情報で表示される(通常のSSLサーバ証明書と区別しづらい)



 「いったいなぜ安全の証明を無効化するのか?」と思われるかもしれません。その背景には、致し方のない事情がありました。



●EV SSLで「何ができていた」のか



 EV SSLは、WebブラウザとWebサーバの通信を暗号化し、改ざんを防止するためのSSLサーバ証明書の一種として登場し、金融機関のWebサイトで導入が進みました。



 SSLサーバ証明書には、ドメイン名が存在することを証明するDomain Validation (DV)、組織が存在することを証明するOrganization Validation (OV)、そしてさらに厳密な実在性証明を課すExtended Validation (EV)の3種類があります。それらの中でEV の認証レベルは最も高く、また、WebブラウザのURLバー上に組織名が表示されます。EV SSLを持たないサイトには組織名が表示されないため、本物のサイトであるか否かが簡単に判別できるという仕組みです。



 もし、サイバー犯罪者がITmediaをかたる「ITmediα」というドメインを取得し、SSLサーバ証明書を取得して錠のマークを表示できたとしても、EV SSLを取得するには「組織の登記簿の提出」などが必要になり、かなり困難です。取得までのハードルの高さが詐欺サイトのふるい分けとして機能していたため、私を含め多くのセキュリティ関係者が「URLバーに組織名が表示されていることを確認しましょう」と発信する根拠になっていました。



ところが……。



●EV SSL「悪影響」



 Googleは2019年8月、下記のサイトでChrome 77での変更をまとめて発表しました。



 これによると、現行バージョンのChromeにおいて、一部でEV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認したのだそうです。具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます。



 また、EV SSLには落とし穴がありました。米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうのです。



 この検証によって、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得ることが分かりました。「組織名が表示されていれば安心」という認識でいると、だまされる可能性があるわけです。こうなっては、安全を証明する判断材料としては使えません。



 なお、WebブラウザにおけるEV SSLサーバー証明書の取り扱いはChromeだけでなく、「Firefox」でも同様に組織名を非表示とする方向です。実は、iOSのWebブラウザ「Safari」では既に非表示となっています。気が付いていましたか?



●SSLサーバ証明書の価値は原点に



 また、企業組織で利用されるセキュリティ機能には、SSLで暗号化された通信内容を“保護”するために、WebブラウザとWebサーバの間にスキャナーをかませ、信号をスキャンするものがあります。この機能は、Webブラウザによって暗号化された信号をスキャナーが一度解き、内容を確認し、改めて暗号化してからWebサーバに送るというもの。この仕組みを利用すると、WebブラウザのURLバーに組織名が表示されません。



"暗号化された接続をスキャン"が有効の場合に、一部の銀行の Web ページやWebサイトの閲覧ができません。どうしたら良いでしょうか?



 EV SSLは、アクセスした先のWebサーバが確かな組織によって運営されていることを証明するものとして活用されてきました。しかし、実際には運用の穴があり、企業のセキュリティ対策とぶつかってうまく活用されていませんでした。その上、利用者も組織名表示の意味するところをよく分かってないらしい……という結果が出た以上、今回のChromeにおける対応も致し方無いように思えます。むしろ、今のままの認識では、EV SSLを悪用した被害が発生するかもしれません。



 こうなると、SSLサーバ証明書の価値は、本来の「WebブラウザとWebサーバの通信が暗号化され、改ざんや盗聴がされないという証明」にある、という認識に立ち戻るべきです。今後は「フィッシング対策になる」「錠マークさえ表示されていれば安全」といった認識が間違いであることを啓蒙していく必要があります。



 すでに多くのWebブラウザで「http://」から始まるWebサイトを「安全ではない」と明示的に表示するようになったのも、一貫性のある変更といえるでしょう。



●これからのフィッシング対策とは



 そうなると、これまでEV SSLが担ってきた、フィッシング対策としての機能はどうやって補完すれば良いのでしょうか。「利用者が気を付ける」だけでは、対策として脆弱(ぜいじゃく)です。



 例えば、Chromeにおいては「設定」→「同期とGoogleサービス」に「セーフブラウジング」というオプション機能が用意されています。セーフブラウジングは、Web既知のフィッシングサイトや不正なソフトウェアを配布しているサイトへの接続をブラウザ側で検出する機能です。FirefoxやSafariといった他社のWebブラウザや、市販のセキュリティ対策ソフトウェアにも同種の機能が搭載されています。これらの機能の活用が対策となるでしょう。



 今後、EV SSLの役割は、少しずつ小さくなっていくでしょう。しばらくは「サービス事業者は利用者に“正規のサイト”だと判断してもらうため、EV SSLを使いましょう」といった解説記事も残るかもしれませんが、それらの記載も徐々に変わっていくはずです。



 皆さんもぜひ、ブラウザの錠マークへの認識を、「表示されていれば安全なサイト」から、「WebブラウザとWebサーバ間の通信が暗号化されている証明」に改めてください。そして、サイト運営の安全性がどこで担保されているのかを意識しながら、インターネットを活用していただきたいと思います。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定