なぜ不正なサーバ証明書が発行されたのか？ 3分で分かる「偽SSLサーバ証明書発行事件」に巻き込まれないための予備知識

自社サイトがフィッシング詐欺などに悪用されるリスクを低減するSSL暗号化通信。だがSSL暗号化通信でさえあれば安全、安心というわけでは決してない。その理由を紹介しよう。

[ITmedia]

　他のWebサイトになりすまして個人情報などをだまし取るフィッシング詐欺が横行している。従来から金融機関や通販企業では、個人情報の漏えいを防止する観点でSSLによる暗号化通信を行うことが当たり前とされてきた。Webサイト全体で常にSSL接続する常時SSLの採用例も増えつつある。

　だがSSL暗号化通信が行われていても、安心できない場合もあることをご存じだろうか。外部公開されているWebサイトがSSL暗号化通信を行う場合は、SSL機能に加えて、実在性証明機能を備えるタイプのSSLサーバ証明書を備えることが一般的だ。だが、この証明書を発行する認証局が、その運用の不備によってハッキングされてしまう事件が相次いでいるのだ。例えば2011年には英国の認証局がハッキングを受けて不正な証明書を発行。2013年1月にはトルコの認証局が誤って発行した証明書が悪用されている。

　言うまでもなく、自社のWebサイトについて不正なSSLサーバ証明書が流通すると、自社サイトがフィッシング詐欺などに悪用されるリスクが高まる。悪用されれば自社の信頼、ブランドは大きく揺らぐことになる。「SSLサーバ証明書を導入すること」では不十分といえ、「安全なSSLサーバ証明書の認証局を選ぶこと」が自社の信頼を守る真のポイントとなるのだ。以下では、セキュリティ系ベンダーのWebページだけでは分からない、本当に信頼できる認証局の条件を紹介する。