こんにちは東京Kです。
最近はどうかわかりませんが、一昔前までは「SSL(HTTPS)は通信の暗号化のためのもの」と思われている人が多かったですね。
今日は「SSLの醍醐味は暗号化だけでは無いよ」というお話。
最初に書いたとおり「SSLはショッピングサイトなどで通信の盗み読みされないように暗号化するもの」というのは広く知られていると思います。
一方で「SSLはアクセスしたサイトが正当なものであることを証明する仕組みも持っている」ことはあまり知られてないと思います。
今回も詳しい仕組みは割愛しますがSSL、つまり、例えば https://www.webimpact.co.jp/ 等にアクセスした場合、ブラウザが何にも警告を出さなければ「www.webimpact.co.jp」のサーバーに間違いなくアクセスできたという証明になります。
ブラウザが警告を出すならば、なりすましをした別のサーバーに接続されている可能性が非常に高いといえます。
そのため、偽サイトにつながらないようにするためにも、SSLで通信をして、URLが正しいかを確認する癖は付けた方が良いですね。特に銀行など重要な情報を入力するサイトにアクセスするときには、是非覚えておいて欲しい知識です。
ただ「正しいURLを覚えてられないよ!正しい綴りがwebimpactなのか、webinpactなのかわからない」という方も多いと思います。
ただ、こればかりは、アクセスする正しいURLが何なのかは、あらかじめ何らかの方法で知っておく必要があります。
ただ、一つだけいえるのは「.go.jp」でドメインの記載が終わり、SSLでアクセスできていれば「国の機関のサーバーに間違いなく接続できた」という証明になるので、これは覚えておくと良いでしょう。
以上、身近なITに疎い方にフィッシングサイトの見分け方を、よく聞かれる東京Kがお送りしました。
ではまた。
追記:
なお、レアケースとも言いがたいですが「正しいサーバーが攻撃者に乗っ取られている場合」や「アクセスしようとしているサイトのドメインの所有権自体を乗っ取られている場合」は、正しいURLでSSLも問題なくても攻撃者のサーバーにつながるので、どうしようもないです。