NewsInsight

日本では携帯電話向けにも提供

EV SSL証明書でユーザーの信頼回復

2007/11/19

　米ベリサインのプロダクトマーケティングディレクター、ティム・キャラン氏によると、強化版SSLに当たる「EV（Extended Validation）SSL証明書」は金融機関を中心に普及し始めており、オンライン取引に対するユーザーの信頼回復にも一役買いつつあるという。

　EV SSL証明書は、業界団体のCAブラウザフォーラムが策定した、SSLサーバ証明書の強化版だ。従来のSSLサーバ証明書は、発行元である認証局によって資格審査内容がまちまちだった。そのため、審査資格が甘い認証局を狙って堂々とサーバ証明書を取得し、それを用いてフィッシングサイトを構築するケースもあった。

　こうしたケースを受けて新たに策定されたのが、EV SSL証明書だ。発行時の身元確認をより厳格に行うことで、オンライン詐欺グループなどによる証明書取得を困難にしている。またWebブラウザ側の実装によっては、証明書の検証結果をグラフィカルに表示し、アクセス先が安全なサイトか、それとも疑わしいサイトかどうかをユーザーが一目で把握できるようにしている。

　例えば、Windows Vista上で動作するInternet Explorer 7では、EV SSL証明書を採用したWebサーバにアクセスするとアドレスバーが緑色で表示されるほか、アクセス先と認証局の情報が表示される。

　ベリサインによると、このEV SSL証明書の採用企業は全世界で1600社、日本国内でも約100社に上るという。「EV SSLは幅広く受け入れられている。グリーンバーというインターフェイスが非常に効果的だからだ」（キャラン氏）。事実、EV SSL証明書を用意したサイトとそうでないサイトとで、ユーザーの離脱率に8.6％の差が生じたという調査結果もあるという。

　ただし、Windows XPに対しては、ベリサインが「VeriSign Secured Seal」を通じて配布している「EV Upgrader」をサーバ側に用意する必要がある。FirefoxやOperaも現時点では未対応で、次期バージョンで「グリーンバー」が実装される予定だ。

　また日本では携帯電話のユーザーが多いことから、ベリサインは8月よりモバイル向けのEV SSL証明書「ベリサイン グローバル・サーバID EV for Mobile」の発行を開始した。現時点ではSSL通信を可能にするだけで、ブラウザ上で色を切り替えると行ったインターフェイスまでは実現できていないが、今後、CAブラウザフォーラム全体として携帯キャリアに働きかけていく方針という。

　キャラン氏によると、フィッシング攻撃は刻々と、その手法を変化させているという。「初めて登場したフィッシング詐欺は、銀行からのメールに見せかける手口だった。そこで『銀行からと名乗るメールに不用意に返信しないように』という警告がなされ、ユーザーの認識が高まるにつれ、異なる方法が登場してきた」（同氏）。

　最近では、セキュリティ警告の名目で「このまま対策しなければ危険です」と危機感を煽ってユーザー情報を盗み取る手口が報告されているほか、「くじに当たった」「コーヒーのクーポンが当たった」という名目でユーザーをだます手があるという。また、「まさかフィッシングのはずがない」という盲点を狙いって季節のグリーティングカードを装う手法もあり、注意が必要という。