インターネットは、私たちの暮らし、買い物、つながり方を大きく変えました。しかし同時に、私たちの信頼を悪用しようと狙うサイバー犯罪者にも門戸を開いています。至るところに偽のウェブサイトがあり、一見すると私たちが見慣れた信頼している正規のサイトにそっくりです。
フィッシング詐欺や偽のオンラインショッピングサイト、認証情報を収集する虚偽のログインページなどは、日を追って巧妙になりつつあります。私生活でも業務でもネットに接続する時間が増えていることを考えると、今ほど危険が高いことはかつてありませんでした。
詐欺サイトを見抜く方法を知っていることは、もはや特殊スキルではなく必須の技術です。ホリデーギフトを買うときでも、銀行口座にログインするときでも、以下の方法でウェブサイトを確かめましょう。そうすれば、時間とお金の無駄にならず、いたずらにストレスをためることもありません。
偽のウェブサイトを見抜く最も簡単な方法は、URL を注意深く確認することです。見慣れたドメイン名のスペルをわずかに変え、気づかれないよう期待するのが、詐欺師の常套手段です。よく似た文字を入れ替える、たとえば amazon.com の「o」をゼロに変えて amaz0n.com という URL を作ることがあります。あるいは、ドメイン拡張子を完全に書き換え、.com を .org や .net などあまり一般的ではない拡張子にして、amazon.org や amazon-shop.net といった URL を作ります。
これほど些細だと、特に慌てているときには違いを簡単に見逃してしまいます。だからこそ、個人情報を入力したり購入したりする前に、きちんと時間をとって URL を確認することが大切なのです。メールや広告に書かれているリンクの上にカーソルを置いて、クリックする前に URL 全体を確かめてください。あるいは、検索結果にポップアップ表示されるリンク先に惑わされないように、信頼できる URL を常に直接ブラウザに入力するようにします。疑わしければ、矛盾点や何らかの不自然な点がないか探しましょう。詳細に気をつけていれば、詐欺の被害に遭うのを避けることができるはずです。
サイトシールとは、ウェブサイトが検証済みであることを示す視覚的な目印です。そのサイトが本物であり安全であることを意味しています。信頼できるサイトシールはたいてい、デジサートのようによく知られた認証局(CA)のもので、そこから対話的に情報が得られます。シールをクリックすると、ウェブサイトのセキュリティ対策についての詳細情報と、その検証方法がさらに表示されます。組織の名称、使われているセキュリティ証明書のタイプ、発行した認証局などの情報があります。
サイトシールをクリックしても反応がない、あるいは無関係な怪しいページにリダイレクトされるとしたら、これは赤信号とみなします。詐欺師は、正規のサイトに偽装しようとして、信頼できるサイトシールをコピーし、偽のウェブサイトに貼り付けることが多いからです。疑わしそうなサイトシールを見かけたら、URL などサイトの他のセキュリティ機能もクロスチェックすることで追加の予防策を講じ、ウェブサイトのオーナーが申告どおりかどうかを確かめましょう。
ウェブサイトは、TLS/SSL 証明書を使って、ユーザーのデバイスとサイトの間で交換されるデータを暗号化しています。攻撃者に傍受されないようにするためです。データの暗号化に使われる TLS 証明書には、以下の 3 種類があります。
詐欺師は DV 証明書を使うのが一般的です。DV 証明書は最低レベルの TLS 証明書であり、CA によっては無償で発行しています。詐欺師は、サイトの所有者であることを保証するだけでいいので、こうした DV 証明書を使います。
サイトのセキュリティ状態を確認する目印
ウェブサイトにアクセスすると、ブラウザにはサイトの証明書と接続状態に関する視覚的な目印が表示されます。Chrome の場合(それ以外の多くのブラウザでも)、アドレスバーに示される URL の左側にある小さなアイコンがそれです。「サイト情報アイコン」と呼ばれることも多く、クリックするとサイトのセキュリティに関して詳細な情報が表示されます。
TLS 証明書によってデータが保護されていることを視覚的に確認したいときに参照できる様々なセキュリティ上の目印について、以下に簡単なガイドを示します。
南京錠アイコンは最初からわかりやすい目印になりますが、正規のサイトであることを保証しているわけではない点に注意してください。接続が暗号化されているという目印にすぎません。さらに詳細な情報が必要であれば、南京錠をクリックして確認できます。
この確認は、前述した他の検証手順と必ず併用してください。ドメイン名のスペルが正しいかどうかを確認する、サイトシールを調べる、URL が正しいことを確認するなどの手順です。こうした些細な習慣を守るだけでも、詐欺の被害に遭うリスクは大幅に減ります。
疑わしい場合は、ウェブサイトチェッカーを使ってウェブサイトが安全かどうかを確認しましょう。Google Safe Browsing などのツールを使うと、サイトのセキュリティ状態について詳しい情報を教えてくれます。URL をステータスチェッカーに貼り付けるだけで、安全かどうか、マルウェアやフィッシングなどの脅威に対する脆弱性がないか、暗号化が弱くないかを確認できます。
買い物をしても安全かどうかを確かめる基準は、ウェブサイトの技術情報だけではありません。以下のように、正規の企業のウェブサイト上でわかる目印がほかにもあります。
オンラインレビューを確認するのもいいでしょう。あまりにも良い取引は、疑ってかかるべきだということも覚えておいてください。
わざわざ言うまでもありませんが、それでも最後にこれをお伝えしておきます。開いたサイトが不正であることに気づいたら、財務情報、認証コード、ログイン名とパスワード、名前や連絡先情報などの重要な情報は決して入力しないでください。
偽のウェブサイトを見かけたら、他の利用者の安全を保つためにも、Google Safe Browsing にご報告ください。
TLS/SSL、スマートシール、サイバーセキュリティなどのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。