「フィッシングサイト・偽サイト・詐欺サイト」と「信頼できるサイト」を見分ける方法が知りたい。
ウェブサイトの不審な点を確認
TLSサーバー証明書の種類を確認
DV証明書は、発行審査で組織の実在性が未確認である。
DV証明書は、世界シェア30%のLet’s Encryptをはじめとした、個人でも簡単に取得できる無料・安価な証明書。
後述する「TLSサーバー証明書確認方法」で、判断する。
Certificate Type(種類) | 発行審査 |
---|---|
Extended Validation (EV) | 信頼性が最も高い。 発行審査が最も厳しく金融機関向けに発行されるケースが多い。 金融機関以外にも信頼性を重視する法人サイトで使用されている。 |
Organization Validated (OV) | 信頼性が高い。 発行審査が厳しく法人サイトに発行されるケースが多い。 |
Domain Validated (DV) | 信頼性は低い。 組織の実在性が審査されず発行費用が無料・安価で世界で最も普及している。 偽サイト・フィッシング詐欺サイトでよく使われている。 |
サイト内の情報から確認
・電話番号の記載があるが、「電話対応できない」と記載されている場合、リスクがあることを認識。
トラブル発生時、電話で会話できない。
・電話番号をGoogle検索し、他社の電話番号になっていないか確認する。
・会社住所をGoogle Map検索し、会社が実在しているか写真で確認する。
取引上の注意点
初めての取引の場合は、銀行振込・クレジットカード支払いを避け、多少料金が増えても、代金引換を利用する。
TLSサーバー証明書確認方法
Chrome(Android)でのTLSサーバー証明書確認
「鍵マーク」をタップ(軽くタッチ)する
「この接続は保護されています」をタップ
「証明書情報」をタップ
「証明書ビューア」で確認
赤色枠で囲まれた「発行先」の「組織(O)」がウェブサイトの運営組織と同一か確認する。
「発行先」に「組織(O)」が含まれている証明書は「EV(Extended Validation)証明書」または「OV(Organization Validation)証明書」であり、信頼性が高い。
「組織(O)」がなく、「一般名(CN)」のみの場合は、「Domain Validated (DV)証明書」になる。
青色枠で囲まれた「発行元」の「組織(O)」(信頼された認証局)が厳格な審査基準に従い審査し発行している。
Certificate Type(種類) | 発行審査 |
---|---|
Extended Validation (EV) | 信頼性が最も高い。 発行審査が最も厳しく金融機関等でよく利用されている。 |
Organization Validated (OV) | 信頼性が高い。 発行審査が厳しく法人向けに発行されるケースが多い。 |
Domain Validated (DV) | 信頼性は低い。 組織の実在性が審査されず発行費用が無料・安価で世界で最も普及している。 偽サイト・フィッシング詐欺サイトでよく使われている。 |
「発行先」に「一般名(CN)」と「シリアル番号」しかない場合は、「DV(Domain Validation)証明書」である。「発行元」(認証局)より「組織(O)」の審査が行われていない。
信頼性は低いため、個人情報、クレジットカード情報の入力をする場合は、リスクを認識して行う必要がある。
参考:【重要】住信SBIネット銀行を装ったフィッシングメールにご注意ください
参考:フィッシング110番 (npa.go.jp)
参考:偽サイトに自社の会社概要を無断使用された/大阪府警本部 (osaka.lg.jp)
Chrome(Windows)での確認方法
鍵マークをクリックした後、「証明書」をクリックする。
EV証明書のみ、この画面で発行先が確認できるのでEV証明書は、ここで確認を終了しても良い。
EV証明書、OV証明書は、証明書の「サブジェクト」(発行先)の「O」(組織)の名前を確認できる。
Certificate Type(種類) | 発行審査 |
---|---|
Extended Validation (EV) | 信頼性が最も高い。 発行審査が最も厳しく金融機関等でよく利用されている。 |
Organization Validated (OV) | 信頼性が高い。 発行審査が厳しく法人向けに発行されるケースが多い。 |
Domain Validated (DV) | 信頼性は低い。 組織の実在性が審査されず発行費用が無料・安価で世界で最も普及している。 偽サイト・フィッシング詐欺サイトでよく使われている。 無償発行可能なLet’s Encryptは全世界で30%のシェア。 |
参考:Google ChromeでWebサイトのSSLサーバ証明書を調査、確認する
iOSのブラウザ(Safari等)で証明書を確認できない場合
SSL Checker.comでの確認方法
以下URLにアクセスし、調べたいホームページのURLを入力し、「Check」をクリック。
https://www.sslchecker.com/
例「www.soumu.go.jp」
Organization(組織名)が確認できる。
SSL Checkerでの確認方法
以下URLにアクセスし、調べたいホームページのURLを入力し、「Check」をクリック。
SSL Checker
例「www.soumu.go.jp」
以下表示になる。