Extended Validation 03-24-2021

偽のウェブサイトを特定する方法

Dean Coclin
DigiCert Blog

デジタルトランスフォーメーションの時代に、偽のウェブサイトを見分ける方法を知っておくことは、単に役に立つだけでなく、オンラインで自分自身を守るために絶対に必要なことです。詐欺的なウェブサイトを見分ける方法を知っていれば、個人や仕事のID、財務情報、電子メールやソーシャルメディアのログイン情報などを守ることができます。

COVID-19 詐欺や個人情報の盗難が増加しています。アメリカ合衆国保健福祉省(The U.S. Department of Health and Human Services)は、コロナウイルスに関連した詐欺は、電話、メール、ソーシャルメディアのメッセージ、ウェブサイトなどの形でやって来る可能性があると警告しています。新しい時代に入っても、ネット詐欺は無くならず、増える可能性もあります。ウェブサイトが本物かどうかを確認する方法を理解することは、現在も将来も偽物のウェブサイトから身を守ることにつながります。

ウェブサイトの検証方法

URLのつづりが間違っていないか確認

偽サイトの重要な指標の一つは、URLのつづりの間違いです。詐欺師は、amaz0n.comのように、URL名を少し変えたり、amazon.comではなくamazon.orgのようにドメインの拡張子を変えたりすることがあります。

サイトシールの確認

サイトシールは、そのサイトが本物であることを示すもので、通常、サイトシールをクリックすると、そのサイトの詳細情報や検証方法が表示されます。クリックしても何の変化がないシールは、不正コピーである可能性が高いので、信用すべきではありません。

1 the DigiCert site seal
図1:デジサートサイトのシール

 

南京錠マークを探す

ウェブサイトの南京錠マークは、ユーザーのデータを暗号化する SSL/TLS証明書によってサイトが保護されていることを意味します。アドレスバーの左上などにある南京錠マークを目印にしてください。南京錠マークが表示されるSSL/TLS証明書には、ドメイン認証(DV) 、組織認証(OV) 、EV認証 の3種類があります。

  • ドメイン認証証明書 ドメインの所有権を確認します。しかし、DV証明書は組織の識別情報を提供するものではありません。そのため、DV証明書を商用目的で使用することはお勧めできません。
  • 組織認証証明書 組織は、公式のビジネス登録データベースで、認証局(CA)によって認証されます。このタイプの証明書は、商用または公共のウェブサイトでの利用が推奨される標準的な証明書です。
  • EV認証証明書 追加の検証手順が含まれており、ブランドとユーザーを保護する最高レベルの認証を提供します。認証局は、EV証明書に正当な組織情報が含まれていることを確実にするために、特定の文書や個人的な接触を要求することができます。世界の主要な組織で使用されており、ウェブサイトが本物であり、取引相手と思われる組織が所有しているという高い信頼性を与えることで、ユーザーの信頼を確保しています。

南京錠マークが表示されていないサイトでは、ほとんどのブラウザで「保護されていない通信」「安全ではありません」という警告が表示されます。以前は、南京錠マークを探すだけで十分でしたが、オンライン詐欺の増加に伴い、ウェブサイトを確認するには南京錠マークよりも深い部分を見る必要があります。

図2:デスクトップのChromeで、安全なサイトと安全でないサイトがどのように見えるか。

 

安全なサイトと詐欺サイトの比較

南京錠マークは、サイト上の情報が暗号化されていることを意味し、ブラウザはそれを「安全」とみなします。残念ながら、現在、「安全なサイト」は、そのサイトから購入したり、情報を共有したりすることにおいて、安全であるとは限りません。南京錠マークがあるからといって、偽物のサイトではないことを意味するわけではありません。調査によると、現在、フィッシングに使われる偽サイトのうち最大で半数が、南京錠マークを備えています。

通常、詐欺師はDV証明書を使用しています。DV証明書とは、一部の認証局では無料で提供している認証水準の低いSSL/TLS証明書であり、自分がサイトを所有していることを証明するだけで、南京錠マークが表示されるようになっています。DV証明書では、その組織が実在していることを証明する必要はありません。時には、OVやEVの証明書を使用することもありますが、これらの証明書を取得するには、組織の登録証明、有効なクレジットカードでの支払い、認証局からの問い合わせへの対応など、より多くの手間がかかるため、ほとんどの犯罪者は使用を躊躇します。

SSL/TLS証明書を使用している偽のウェブサイトは、通常、捕捉されますが、証明書を使って一時的に大混乱を引き起こすことができるかもしれません。

南京錠マークの先を見る

南京錠マークを一度クリックすることで、その先の情報を見ることができます。最高レベルの認証のために、南京錠マークをクリックすると、「証明書(有効)」の下に「発行先: [組織名]」と表示されます。残念ながら、この機能は現在、デスクトップのブラウザでのみ動作します。しかし、モバイルブラウザでもデスクトップでも、ウェブサイトが安全かどうかを確認するためには、南京錠マークの先を見るという原則は変わりません。

ウェブサイトチェッカーでサイトをチェック

南京錠マークが表示されているかどうか、サイトシールが貼られているかどうか、ウェブサイトチェッカーでのURLの確認のほかに、以下のような信頼度の指標がサイトにあるかどうかを確認します。

  • プライバシーポリシー
  • 返品ポリシー
  • 電話番号や住所など、組織の連絡先
  • 正しいスペリングと文法
  • オンラインまたは、インターネット レビュー

一般的に、本物にしては良すぎると思われるお得な情報は避けた方がいいでしょう。

偽サイトを見つけた場合の対処法

詐欺的なサイトにアクセスしてしまった場合は、財務情報、ログイン名やパスワード、認証コード、Facebookのログイン名、さらには氏名や連絡先など、いかなる機密情報も提供しないでください。疑わしいと感じた場合は記入しないでください。さらに、見知らぬメールやオンラインの投稿、DMなどのリンクをクリックしないでください。そのサイトが偽物かどうかを知ることで、そのサイトから購入するかどうかを判断することができます。

偽サイトをGoogleセーフブラウジングに報告して、すぐにサイトを離れるべきです。

UP NEXT
安全なリモートワーク

ニューノーマル(新たな常態)におけるサイバーセキュリティ: コロナウィルス(COVID-19)が永久に変えたセキュリティ

5 Min

特集記事

大量メール送信者にお勧めする 4 つのベストプラクティス

クラウド上で量子コンピュータをいかに保護するか

安全な夏休みに欠かせないサイバーセキュリティ