私たちがインターネットでショッピングを楽しんだり、大切な個人情報を入力したりする際、ブラウザの端に表示される「鍵マーク」を一つの安心材料にしてきた方は多いのではないでしょうか。このマークは、そのウェブサイトとの通信が「HTTPS」によって暗号化されていることを示す、いわばインターネット上の「安全の印」として長らく親しまれてきました。しかし、2019年09月26日現在、この鍵マークさえあれば絶対に安全であるという神話は、もはや過去のものとなりつつあります。
驚くべきことに、アメリカの連邦捜査局であるFBIは、鍵のアイコンや「https」という表記があるという理由だけで、そのサイトを安易に信頼しないよう公式に注意を呼びかけています。SNS上でも「鍵マークがついている偽サイトに騙されそうになった」「暗号化されているフィッシング詐欺サイトが増えているなんて知らなかった」といった驚きや不安の声が次々と上がっており、ネットユーザーの間で大きな波紋を広げている状況です。
HTTPS化された偽サイトが急増する理由と証明書の仕組み
なぜ、悪意のある詐欺サイトが鍵マークを表示できるのでしょうか。その鍵を握るのは、サイトの身元を証明する「サーバー証明書」の仕組みにあります。これには大きく分けて、ドメインの所有権のみを確認する「ドメイン認証(DV)」、運営組織の実在性まで審査する「組織認証(OV)」、そして最も厳格な審査が行われる「EV」の3種類が存在します。特にDV証明書は、機械的な手続きだけで取得できるため、犯人が偽サイトに設定することが極めて容易なのです。
専門用語で少し難しく感じるかもしれませんが、DV証明書(Domain Validation)とは、あくまで「そのURLの持ち主が通信を暗号化しています」という事実を示すだけであり、その持ち主が「信頼できる善意の人物かどうか」までは保証してくれません。つまり、鍵マークがついているということは、泥棒が自分の家の玄関に最新の頑丈な鍵をかけているのと同じ状態です。通信の中身は守られていても、送り先が泥棒であれば、入力した情報はそのまま盗まれてしまうでしょう。
私個人の意見としては、この「鍵マーク=安全」という誤解を逆手に取った犯行は、非常に巧妙で卑劣であると感じます。技術が進化し、通信の安全性が高まる一方で、私たちの「安心感」そのものが攻撃の対象になっている事実は否定できません。もはやシステムに頼り切るのではなく、私たち利用者一人ひとりが、URLが正規のものか、サイトのデザインや日本語の表現に不自然な点はないかといった「多角的な視点」を持つことが、デジタル社会を生き抜く術となるはずです。
これからのウェブ利用においては、鍵マークの有無を確認することは最低限のステップに過ぎません。メールのリンクから直接サイトに飛ばず、公式アプリやブックマークからアクセスする習慣をつけることが重要でしょう。2019年09月26日のこの警告を機に、画面上のアイコン一つで判断する危うさを再認識し、より慎重な姿勢でインターネットと向き合っていくことが、自分自身の大切な資産や情報を守るための第一歩となるに違いありません。