BitArts Blog

ロードバイク通勤のRubyプログラマで伊豆ダイバー。の個人的なブログ。

正規のサイト証明書を持つフィッシングサイト

サイト証明書を取得するための手続き・審査が簡単すぎて、最近は犯罪目的のサイトでも簡単にサイト証明書を取得できちゃったりするらしい。 -http://itpro.nikkeibp.co.jp/article/NEWS/20060210/229014/ / IT Pro サイト証明書が付いてれば何でも安心という誤解を避けるためにこういう警告は大事だ。しかもサイト証明書が必ずしも信用できるわけじゃないのは、このケースに限らないと思う。 例えば「信頼できそうなサイト」にクロスサイトスクリプティング脆弱性があった場合。これを悪用されてフィッシングサイトを作られたら、ドメイン、サイト証明書、ともにそのサイトの正規のものになってしまうわけだ。 まあ「このサイトにはセキュリティホールがあるかもしれない」「サイトが改ざんされているかもしれない」まで考えたらきりがないようにも思うけど、これは微妙なところ。実際、僕が仕事でそこそこの規模のサイトでセキュリティ診断をすると、クロスサイトスクリプティング脆弱性ってすごい高確率で検出されるし…。そこそこ有名ECサイトですよ。セキュリティ診断してなかったらそこでフィッシングされちゃう危険性があったわけです。 まあとにかく、サイト証明書が何を証明しているものなのかをきちんと理解することがまず大事な気がします。