お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。
2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。

安全なWebサイト利用の鉄則

産総研 > RCIS > 安全なWebサイト利用の鉄則 > サイト運営者の鉄則

サイト運営者の鉄則

サイト運営者は、利用者をフィッシングの手口から守るため、以下の要件を満たすようサイトを設計、実装、運営するべきです。

アドレスバーやステータスバーを隠さない

利用者の鉄則に示したように、利用者はアドレスバーを頼りに、見ている画面が本物かどうかを判別します。本物サイトがアドレスバーを隠す設計になっていると、そのサイトの利用者は、普段からアドレスバーを確認せずにパスワード等を入力する悪習を身に着けてしまい、フィッシングに騙されやすくなってしまいます。

同様に、ステータスバーは南京錠アイコン等を表示する重要な場所ですから、隠さないようにします。

入力ページを https:// にする

SSLによる暗号化通信を提供している場合は、パスワードや個人情報、クレジットカード番号などの入力欄のある画面を https:// にします。たとえ入力データの送信先が https:// になっていても、入力欄が http:// となっていたのでは安全ではありません。

正規のサーバ証明書を購入してSSLを運用する

利用者の鉄則 ― 初めて訪れたサイトの場合で示した図1-5の警告ウィンドウが、正常時から現れるようなサーバ証明書で運用しないようにします。

サービス提供者が保有するドメイン名を使う

利用者の鉄則に示したように、利用者は初めてサイトを訪れたとき、サーバ証明書に書かれている組織名で本物サイトかどうかを判別します。たとえ本物サイトであっても、他社が保有するドメイン名でサーバを設置していると、サーバ証明書の内容も他社の名前となってしまいます。他社にサーバ管理を委託している場合であっても、自社のドメイン名の下のホスト名をDNSに設定したサーバで運用するべきです。

まぎらわしくないドメイン名を使う

できるだけまぎらわしくないドメイン名でサーバを設置します。「co.jp」のドメイン名を持っている組織は、「.jp」のドメイン名よりも「co.jp」のドメイン名で運用した方が、高い信用性を得られます。地方公共団体のサイトは、「.lg.jp」のドメイン名または地域ドメインのドメイン名で運用するべきです。

ドメイン名を利用者に周知する

インターネット以外の信頼性の高い方法で、サイトのドメイン名を利用者に周知しておくことが望ましいと言えます。たとえば、銀行であれば、預金通帳やキャッシュカードに銀行のドメイン名を印刷しておくことなどが考えられます。

検索誘導広告を使わない

2006年ごろから、テレビCMや街の看板、ポスター等で、Webサイトの場所を案内する目的で「○○で検索」と、Web検索を促す広告手法が流行しています。Web検索のサービスは、検索結果で本物サイトを上位に表示することを保証していません。フィッシングの偽サイトが検索結果の上位に現れてしまう可能性を否定できません。会社名での検索ならまだしも、一般的な言葉での検索はその危険性が小さくありません。フィッシングの標的となりやすいサービスを運営する会社は、このような手法の広告を避けるべきです。

サイトからクロスサイトスクリプティング脆弱性を排除する

サイトのどこかにクロスサイトスクリプティング脆弱性があると、本物サイト上に偽のページを表示させられてしまいます。アドレスバーが本物のドメイン名のアドレスを表示し、南京錠アイコンをダブルクリックして証明書の内容を確認すると本物と表示されるにもかかわらず、偽のページを表示してしまうことがあります。クロスサイトスクリプティングに限らず、Webサイトはセキュリティ脆弱性のない状態を保つべきです。