今どきフィッシングサイトに欺されないための確認方法として、アドレスバーに 「鍵マーク」 が付いているかなんて話を持ち出す人はさすがにいないと思いますが、先日 Phishlabs で公開されたデータによると、すでにフィッシングサイト全体のうち、49.4%、つまりほぼ半数は、SSL 証明書を取得し、https:// で始まる URL でホストされているとのことで、フィッシングサイトか否かを 「鍵マーク」 の有無だけで判断することがどれほど危険なことかが改めて示されました。
Since 2015 there has been a steady increase in threat actors' use of SSL certificates to add an air of legitimacy to malicious websites. By the end of 2017 almost a third of phishing sites had SSL certificates, meaning their URLs began with HTTPS:// and (most) browsers displayed the all-important padlock symbol.
In recent months, however, our team has observed an even more dramatic increase in the use of SSL certificates on phishing sites, with the rate reaching 49.4 percent by the end of Q3.
『2015年以降、悪意あるサイトが SSL 証明書を使用することで合法的なサイトであるように装う脅威が増しています。 2017年末までに、フィッシングサイトのほぼ 1/3 が SSL証明書を取得しましたが、最近の数ヶ月で、フィッシングサイトにおける SSL 証明書の使用率が劇的に増加したことを確認しており、その使用率は、2018年の第三四半期終了時までに 49.4% に達しました。』
ということで、下記にそのグラフを示しますが、2017年以降、急激にフィッシングサイトにおける SSL 証明書利用率が上昇していることがわかります。
49 Percent of Phishing Sites Now Use HTTPS https://t.co/XgDotDVVkg #cybersecurity
— PhishLabs (@PhishLabs) 2018年12月6日
元記事でも触れられていますが、この背景には Google Chrome や Firefox などモダンブラウザが SSL で保護されていない Web ページ、もしくは 入力フォームが設置された Web ページに対して警告を表示するようになったことが大きく影響していそうです(下記参考記事)。
- Google Chrome 62 は SSL で保護されていないページの入力フォームに対して 「安全でない」 と警告する
- Google Chrome 68 が正式リリース、SSL で保護されていないページに警告表示がスタート
- Safari 11.1 は SSL で保護されていないページにパスワード入力欄があるとアドレスバーで警告する
また、Let's Encrypt のような、無料、かつ高速に SSL 証明書を取得できる便利な仕組みがフィッシングサイトのような詐欺サイトにも悪用されてしまっているというのもありそうです。
なお、完全に余談ですし、フィッシングサイトのような直接的な詐欺サイトの事例ではないものの、盗難クレジットカード情報を販売するようなちょっと問題のあるサイトでも、EV SSL 証明書を使用してるなんて例もあります。フィッシングサイトなど、明かな詐欺サイトが取得できる可能性は高くはないとはいえ、そもそも EV SSL 証明書と、そのサイトに悪意がないかどうかは無関係です。EV SSL 証明書を使っているから安心なサイトという盲信は大変危険ですのでやめた方がよいでしょう。
盗難クレカの販売サイトでもEV-SSLを取得できるとは pic.twitter.com/apR23AUKjz
— Cheena (@CheenaBlog) 2018年11月26日
EV SSL 証明書って何? という方には下記の記事がお勧めです。
閑話休題。
フィッシングサイトと正規のサイトを見分けるには、アドレスバーに表示されている 「ドメイン」 部分をきちんと確認するという方法以外にありません。
つい半年くらい前にも、NHK News Web さんがフィッシングサイトの見分け方と称して、本物のサイトとフィッシングサイトとのデザイン上の差異を確認しましょうなんていう無意味かつ適当な注意喚起をぶちかまして激しいツッコミを喰らっていましたが、SSL で保護されているか、つまりアドレスバーに 「鍵マーク」 があるかだけで判断することも、デザインの差異で見分けるのと同様に危険で意味のない行為ですので改めて注意しましょう。
手口は、悪質・巧妙化しています。注意してください!https://t.co/sSzaRpJLCp
— NHKニュース (@nhk_news) 2018年7月27日
サイト内のデザインの差異なんざどうでもいいからまずアドレスバーをみてドメインを確認しろアホが
— Yoshiki Kato (@burnworks) 2018年7月27日
フィッシングサイトから身を守る対策として、アドレスバーを確認しましょうという件については過去にも下記のような記事を書いていますのでご参考まで。