記事にアフィリエイト広告を含みます

そのサイトは本物? 偽サイトを見破るためにサイトの証明書をチェックしよう(natsuki)

サイトの証明書
こんにちは、natsukiです。世の中、インターネットを使った詐欺は絶えないのですが、定番だけども怖い手口として、銀行などの正規のサイトとまったく同じ見かけの偽サイトへ導くというものがあります。偽サイトへ導く方法は、メールのリンクだったりウイルスだったりと色々あるわけですが、この手口が怖いのは、偽サイトと本物のサイトは「見た目」では区別が付かないという点です。サイトのアドレスを確認しても、これを偽装するケースもあるようです。

スポンサーリンク

これを見破るには、「SSLサーバ証明書」というものを調べる必要があります。そこで今回は、この証明書を確認して偽サイトを見破る方法をまとめてみたいと思います。内容としては、比較的初心者向けになるかと思いますが、基本的な知識としてご確認ください。

なお、この記事を書いたきっかけは、実際に先日、詐欺メールを受け取った事にあるので、ついでにその顛末もご報告して、皆様への注意も促したいと思います。

1.通信の保護をチェック

詐欺メールがAppleを騙るものだったんで、Appleのサイトを例にします。

サイトの証明書
左上から順に、Edge、Internet Explorer 11、Chrome、Vivaldiで表示しています。赤で○を付けたところに注目してください。

まず、個人情報をやりとりするようなサイトは、サイトアドレスに画像のような「南京錠マーク」が付いています。また、アドレスは「http://」からではなく、「s」が付いた「https://」からはじまります。もっとも、このアドレスの冒頭部分は多くのブラウザでは省略されてしまいます。画像では、Internet Explorer 11とChromeでは表示されていますね。なお、南京錠アイコンにビックリマークやヒビなどが表示されている場合は、何らかの事情でこの保護に問題があるということです。

ということで、南京錠マークがない場合は、そのサイトとの通信が保護されてすらいないので、個人情報や金銭のやりとりをするサイトなどでは、それはあり得ません。もし南京錠マークがない場合、絶対に個人情報を入力してはいけません。

さて、このような通信の保護のためには次に説明する「SSLサーバ証明書」が発行されていなければなりません。証明書の発行には一定の手続きが必要なので、この南京錠マークの有無で、証明書の発行を受けていないお粗末な詐欺サイトは見分けることができるかもしれません。でも、何らかの手段で証明書を発行されていたら? または、表示を偽装していたら? そこで、相手のサイトが「本物」かどうかをちゃんと確認するには、実際に証明書の中身を確認する必要があるわけです。

2.証明書の確認方法

「SSLサーバ証明書」の種類

証明書の中身を見る前に、この「SSLサーバ証明書」には、種類があることも知っておきましょう。「DV」「OV」「EV」と3つの種類があり、詳細は省きますが、「EV」が最も信頼性の高いものです。さて、先ほどの画像をもう一度見てみます。「色」に注目してください。

サイトの証明書
一番上のEdgeでは南京錠マークと「Apple inc.[US]」の文字が、Internet Explorer 11ではアドレスバー全体が、Chromeでは南京錠マークと「Apple inc.[US]」に「https://」が、Vivaldiでは「Apple inc.[US]」の文字と背景が緑色に表示されます。などなど、ブラウザによって、または同じブラウザでもバージョンによって表現は違いますが、「緑色」が表示されるのが、証明書が最も信頼性の高い「EV」である証です。大手のサイトなら、当然「EV」の証明書を取得しているはずなので、ここがモノトーンだと怪しいということになります。

では、実際に証明書の中身を見てみます。

「Chrome」や同系統のブラウザの場合

Chromeや、VivaldiなどのCHromeと同系統のブラウザの場合は、前は南京錠マークから証明書を開けたのですが、現在は開き方が変わっているようです。試験運用機能から、元通りに開けるようにもできるんですが、ここではその方法は省いて、通常の方法を紹介します。

サイトの証明書 Chrome
まず、画面の適当な場所を右クリックし、メニューから「検証」を選びます。または、「F12」キーを押します。

サイトの証明書 Chrome2
すると、このような「ディベロッパーツール」が開かれます。証明書を見るための「Security」タブが隠れている場合も多いので、画像の「>>」マークを押してタブを展開します。

サイトの証明書 Chrome3
このように表示されるので、「Security」タブを選択します。

スポンサーリンク

サイトの証明書 Chrome4
さらに「View certificate」を押すと、これで証明書が表示されます。

サイトの証明書 Chrome5
証明書が表示されたら「詳細」タブを開き、「サブジェクト」を選択。すると、下に様々な情報が表示されます。

サイトの証明書 Chrome6
注目するのは、まず「CN=」の部分。これがドメイン情報になります。これをサイトのアドレスと照らし合わせ、「https://○○○/……」の「○○○」の部分と一致しているか確認します。さらに、「O=」の項目を見て、確かにその企業かを確認します。こうして、そのサイトが「本物」かどうかの確認ができるというわけです。これらの情報が一致しなかったりおかしい場合は、偽サイトであるということになります。

「Internet Explorer 11」の場合

サイトの証明書 IE1
Internet Explorer 11の方が、簡単ですね。「南京錠マーク」をクリックすると、画像のように表示されます。ここで「証明書の表示」をクリック。

サイトの証明書 IE2
すると、このように表示されます。あとはChromeと同じです。Chromeや同系統のブラウザでも、前は同様の操作で表示できたんですが、こっちの方が簡単ですよねぇ。

「Edge」の場合

サイトの証明書 Edge1
Edgeでも、「南京錠マーク」をクリックすると、ご覧のように企業名は表示されます。……が、ここから先がない。「F12」キーでディベロッパーツールを呼び出して探してみても、それらしき項目もない。えーっと、証明書の詳細が見られないって、それはブラウザとしてマズいんではないか? 私が調べた限りでは、Edgeでは証明書の詳細を見られない模様です。どなたか、やり方をご存じでしたら教えてください。

以上、サイトの「SSLサーバ証明書」の確認方法でした。少しでも不自然なことがあれば、そのサイトが本物か確かめるためにこの証明書を確認しましょう。

3.今回の詐欺メール

さて、今回の発端となった詐欺メールがこれです。

サイトの証明書 詐欺メール1
「Apple StoreでLINEのコインを購入したという通知メール」を装いたいんだと思います。Apple IDとして、私のメールアドレスが表示されています。私はApple製品を持っておらず、当然Apple IDなんか持っていないので、これがきた時に真っ先に疑ったのは、何らかの個人情報の流出により、誰かが私の名を騙ってIDを作ったということでした。しかし、よく見ると……

サイトの証明書 詐欺メール2
App「I」e となっているのが分かりますでしょうか。はいはい、詐欺メールですね。

念のため、Apple StoreでそんなIDは作っていないということも確認しました。メールを開いてはしまったので、いちおう、PC全体にセキュリティソフトでスキャンをかけて色々チェックし、Apple IDの確認時も、偽サイトに誘導されていないか証明書で確認したという次第です。皆様もお気をつけください。

スポンサーリンク