ウェブブラウザの下部に表示される鍵型をしたアイコンへの信頼性が、緩い基準とずさんな監督のために低下してしまっているが、今年認証基準の強化とブラウザのアップデートが実施されれば、この信頼性も再び向上することになるだろう。
この黄色い鍵のアイコンは、アクセス中のウェブサイトとブラウザとのデータのやりとりが暗号化されており、認証機関と呼ばれる第3者組織によってそのサイトが本物であると確認/保証されていることを示している。しかし近頃では認証の基準が緩くなっていることから、鍵アイコンが表示されていても、そのサイトが安全であるとは言えなくなっている。
この問題を解決するために、SSL(Secure Socket Layer)証明書を発行する複数の企業が各ウェブブラウザの開発元と協力して、「信頼性の高い」新しいタイプの証明書を開発しようとしている。これらの企業は「CA Forum」と呼ばれる非公式な組織を設立しているが、同組織に参加するある企業の関係者がCNET News.comに語ったところによると、CA Forumでは2005年に非公開の会合を3度開いており、2006年にも会合を予定しているという。
「われわれは、信頼性への脅威に対し業界として何らかの対応策を検討すべきだ」と、Melih Abdulhayogluは述べている。同氏は、ニュージャージー州ジャージーシティに拠点を置くComodoのCEOであり、CA Forumの初めての会合の開催に尽力した人物である。「ユーザーは、鍵アイコンが意味のあるものであってほしいと考えている。ところが今では一部のプロバイダーが証明書を安易に発行するようになったために、その価値が揺らいでいる」(Abdulhayoglu)
CA Forumが検討している新たなセキュリティ証明書は、対応するウェブブラウザと併用することで、ウェブにおける信頼性を回復し、特にフィッシングの有効な対策となるものだ。
鍵アイコンは、オンラインバンキングやショッピングといったネット上での取引の安全性を消費者に保証するもので、一大ビジネスとなったEコマースでは重要な存在である。Forrester Researchの予測によると、米国のオンライン小売市場の規模は、2005年の1720億ドルから2010年には3290億ドルにまで成長するという。
偽サイトを使って閲覧者をだまし、機密情報を提供させるフィッシング詐欺の出現によって、この問題の緊急性は一段と高まった。フィッシング詐欺の中には、有効な証明書を使用して偽サイトに鍵アイコンを表示し、正当なサイトであるかのような印象を与えようとするものまで出現している。
MicrosoftのRob Franco(Internet Explorerセキュリティ担当主任プログラムマネージャ)は、「現在認証機関が行っているサイトの審査は、いささか緩い基準に従っている。ユーザーがフィッシング詐欺に引っかかったり、偽のウェブサイトが存在したりしている現状に鑑みれば、サイトの正当性を確実に保証する新たな基準を設けることが重要だ」と述べている。
揺らぐ鍵アイコンの意義
今日のSSL証明書には暗号鍵が含まれており、これが証明書に記載された組織のものであることを各認証機関が保証している。暗号鍵の役割は、証明書の申請者の信頼性を保証し、ウェブサイトのユーザーが証明書に書かれている情報を信頼できるようにすることだ。
当初は、すべての証明書発行機関が、ウェブサイトへの証明書発行に先立って申請者に対する綿密な審査を実施していた。しかし数年前から、証明書をより安価に提供するためにサイトの審査基準を緩和する機関が出現し始め、市場がその動きに追随したと、業界関係者は指摘している。例えば、有効な電子メールアドレスを身分証明として提示するだけで、証明書を発行する企業も存在しているという。
「従来の証明書の問題は、審査レベルが低すぎるという点と、平均的なユーザーがブラウザでの証明書確認を簡単に行えないという点にある」と、CorillianのチーフセキュリティオフィサーJim Maloneyは言う。同社では、Wachovia、JP Morgan Chase、Capitol Oneなど100行以上の銀行にオンラインバンキング技術を提供している。現時点では、証明書を保有する組織の詳細情報を確認するのに、鍵アイコンをクリックしなければならない。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」