大半の詐欺サイトがSSL化?
先週このブログに、無料SSLなどが普及したこともあり、詐欺サイトも今やSSL化を進めているということを書きました。
http://mahanacorp.jugem.jp/?day=20190209
私が今日読んだ「PhishLabs」の記事によると、昨年時点で既にフィッシングサイト(=パスワードなどの情報をだまし取るサイト)の49%が既にSSL化しているそうです!
https://info.phishlabs.com/blog/49-percent-of-phishing-sites-now-use-https?om_ext_cId=dc_email_ (英語のみ)
これまでURLを見て「https」になっていればSSL化しているということなので、詐欺のリスクが低いと思われてきましたが、もうこれは過去のことになってしまいました。httpsだから安全ということはありません。
ただ紛らわしいのは、SSL化されている場合は、「この接続は保護されています」などのメッセージが表示されるため、まるで詐欺ではなく安全だという誤解を受けてしまうことです。保護されているのはあくまで通信だけであり、その先が詐欺ではなく安全ということではないのです。つまり、これが詐欺サイトだった場合は、「あなたの情報は保護して安全に犯人のところまで送られますよ。」という内容なのです!
これを防ぐためには、私が先述のブログに書いた通り、SSL化だけではなく企業認証されているかまでを確実にチェックする必要がありそうです。