ここから本文です

URLバーの組織名表示を信用できる? 変化するEV SSLサーバ証明書の取り扱い方

8/20(火) 7:05配信

ITmedia エンタープライズ

 2019年9月にリリース予定の「Google Chrome 77」で、ちょっとした……いや、かなり大きな変更が実施されます。それは、このコラムでも何度かフィッシング対策として紹介してきた「EV SSLサーバ証明書(以下、EV SSL)」の扱い。なんと、本物のサイトと偽サイトを区別する「URLバーの組織名表示」を無効にするというのです。

組織名はURLバーから消え、詳細情報で表示される(通常のSSLサーバ証明書と区別しづらい)

 「いったいなぜ安全の証明を無効化するのか?」と思われるかもしれません。その背景には、致し方のない事情がありました。

EV SSLで「何ができていた」のか

 EV SSLは、WebブラウザとWebサーバの通信を暗号化し、改ざんを防止するためのSSLサーバ証明書の一種として登場し、金融機関のWebサイトで導入が進みました。

 SSLサーバ証明書には、ドメイン名が存在することを証明するDomain Validation (DV)、組織が存在することを証明するOrganization Validation (OV)、そしてさらに厳密な実在性証明を課すExtended Validation (EV)の3種類があります。それらの中でEV の認証レベルは最も高く、また、WebブラウザのURLバー上に組織名が表示されます。EV SSLを持たないサイトには組織名が表示されないため、本物のサイトであるか否かが簡単に判別できるという仕組みです。

 もし、サイバー犯罪者がITmediaをかたる「ITmediα」というドメインを取得し、SSLサーバ証明書を取得して錠のマークを表示できたとしても、EV SSLを取得するには「組織の登記簿の提出」などが必要になり、かなり困難です。取得までのハードルの高さが詐欺サイトのふるい分けとして機能していたため、私を含め多くのセキュリティ関係者が「URLバーに組織名が表示されていることを確認しましょう」と発信する根拠になっていました。

ところが……。

EV SSL「悪影響」

 Googleは2019年8月、下記のサイトでChrome 77での変更をまとめて発表しました。

 これによると、現行バージョンのChromeにおいて、一部でEV SSLの組織名表示を削除するフィールドテストを実施し、利用者の挙動に変化がないことを確認したのだそうです。具体的には、「組織名が削除されたWebサイトにも、利用者はクレジットカード情報を入力していた」などの結果が得られたのだと思われます。

 また、EV SSLには落とし穴がありました。米国では、州を変えて申請すれば、既知の企業と同じ組織名を表示するサーバ証明書が作れてしまうのです。

 この検証によって、「EV SSLによって組織名が表示されるフィッシング詐欺サイト」が発生し得ることが分かりました。「組織名が表示されていれば安心」という認識でいると、だまされる可能性があるわけです。こうなっては、安全を証明する判断材料としては使えません。

 なお、WebブラウザにおけるEV SSLサーバー証明書の取り扱いはChromeだけでなく、「Firefox」でも同様に組織名を非表示とする方向です。実は、iOSのWebブラウザ「Safari」では既に非表示となっています。気が付いていましたか?

1/2ページ

最終更新:8/20(火) 7:05
ITmedia エンタープライズ

こんな記事も読まれています

あなたにおすすめの記事