638a555c8116209288977dc4ad774d09_s

ビットバンクからフィッシングメールの見分け方という記事が投稿されていました。

bitbankを装ったフィッシングメールの見分け方について
https://bitbankcc.zendesk.com/hc/ja/articles/360001685513

ビットバンクさんは EV SSL 証明書という一番審査の厳しい証明書を取得されていて、企業名がアドレスバーに表示されるので、フィッシングメールというか、フィッシングサイトにひっかかりにくいわけですね。

でも、取引所によっては企業名が出ていないところもあります。
なぜだと思いますか?


SSL証明書には2つの役割がある
  1. SSL 証明書を使うと暗号化された通信が可能となります。
  2. サーバ運営している組織が実在することを証明します。
ビットバンクは2番目の項目も満たした SSL 証明書を使っているのですね。


SSL証明書の種類

SSL証明書はSSL認証局という組織(多くの場合、代理店)から SSL 証明書を購入します。この時に証明書の種類が選べるのです。

参考に、さくらインターネットの記事を紹介しますね。
https://ssl.sakura.ad.jp/column/attestation-level/

ドメイン認証、企業認証、EV 認証の3種類あります。

このうち、ドメイン認証というのが一番グレードが低いのですが、取得も簡単、価格も安いのですw
サイトの所有者かどうかは、管理者しかできないこと(管理者宛メールを受け取る、Webサーバに指定されたファイルを置く)などのシンプルなチェックでおしまいです。
これじゃあ、フィッシングサイトも楽々作れてしまいますね…。

一方、企業認証、EV 認証は、申請してきた企業が存在するか確認するので、フィッシングサイトを作りにくいわけです。
特に、EV 認証は審査条件も厳しく、ブラウザのアドレスバーに企業名が表示されるため、エンジニアでなくても分かりやすいものになっています。

企業認証は、証明書情報を見れば組織名が証明書に含まれているのでチェックできるんですが、そんなのをいちいち確認する人は居ませんよねw
誰でもひと目で分かるのがよいのです。

残念ながらいくつかの取引所はドメイン認証タイプの SSL 証明書を使っているようです。
取引所は大きなお金が動きますから、全ての取引所に EV 証明書の導入をお願いしたいところです。


番外編1:Let's Encrypt

SSL 通信を普及させるため、https://letsencrypt.jp/ というプロジェクトがあり、無償で SSL 証明書を取得することができます。
取引所がこの証明書を使うことは無いはずなので、証明書の発行元が Let's Encrypt だったらフィッシングサイトを疑ってください。
この証明書を使っていても、緑の鍵マークは出ますので気をつけて!

番外編2:オレオレ証明書

SSL 証明書はSSL認証局という組織から購入すると説明しました。といっても、単にお金を払えば証明書ファイルが送られるのではなく、証明書リクエストファイル(CSR)を作ってそれを認証局に送り、署名してもらったのが SSL 証明書なのです。

でも、この署名作業を自分でやってしまうことができます。これを通称でオレオレ証明書と読んでいます。
この手法で作られた証明書は、ブラウザが証明書チェックするときに「そんな認証局は知らん!」と怒るので緑の鍵マークは出てきません。


SSL 証明書の役割を知ってもらい、フィッシングサイトに騙されないように気をつけて貰えたら嬉しいです!