お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。
2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。

安全なWebサイト利用の鉄則

産総研 > RCIS > 安全なWebサイト利用の鉄則

この解説について

目的: フィッシング被害を防止するWebサイト利用手順の確認

著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。

しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書かれていませんし、学校の教科書にも書かれていません。最近では行政機関や企業からフィッシングに注意を呼びかける文書が発表されることがありますが、あまり正しく解説されていないのが現状です。

この解説は、Webサイトを安全に利用する簡潔な手順を示します。無用で余分な確認手順等は排除しています。必要な手順のみを示します。

想定する読者: 利用手順をユーザに説明する方、サイトを設計する方

利用者の立場で知っておくべき「利用者の鉄則」と、その鉄則さえ守っていれば安全となるようなサイト作りに必要な設計の要件を示した「サイト運営者の鉄則」で構成しています。なぜこのような手順でよいのかについては、「よくある質問と答え」で説明しています。

利用者の鉄則

利用者があるサイトを訪れて、今からパスワードや個人情報などを入力しようとしているとき、そのサイトが、初めて訪れたところ――(A) なのか、それとも、以前に利用したことのあるサイト――(B) なのかによって、安全な利用の手順は次のようになります。

(A) 初めて訪れたサイトの場合

  1. パスワードや個人情報、クレジットカード番号などを入力しようとするその直前に、次のことを確認し、確認できない場合は入力を中止します。
    • サイト運営者のことを知っている場合:
      銀行やクレジットカード会社、著名なメーカーやブランド、自治体などのサイトに訪れた(つもりの)場合、今見ているサイトが本当にその会社によって運営されているところなのかを確認する必要があります。
      • その運営者のドメイン名を既に知っている場合:
        今見ている画面のURLをブラウザのアドレスバーで確認し、知っているドメイン名に一致しているかを確認します。(可能であれば次の「サーバ証明書」の確認も行います。)
      • その運営者のドメイン名をまだ知らない場合:
        SSLで暗号化されたページ、つまり「https://」で始まるURLのページを探します。ブラウザに南京錠の形をしたアイコンが現れるので、それをクリックして「サーバ証明書」の中身を確認し、その運営者の組織名が書かれていることを確認します。
    • サイト運営者のことをまだ知らない場合:
      その運営者のことをまだよく知らない場合は、まずその運営者を信用してよいかを判断しなくてはなりません。残念ながら、信用できるかどうかを技術的に確認する方法はありません。通信販売サイトであれば「特定商取引に基づく表示」を探して読むか、「オンラインマーク制度」による認証を受けているかを確認するなどして、自分で判断するほかありません。
  2. 今後も再び利用する予定がある場合には、次回に備えてこのサイトのドメイン名を覚えておきます。
  3. 必要な情報入力をします。

[ もっと詳しく ] (アドレスバーの確認方法、サーバ証明書の確認方法)

(B) 再度訪れたサイトの場合

  1. パスワードや個人情報、クレジットカード番号などを入力しようとするその直前に、次のことを確認し、確認できない場合は入力を中止します。
    • 過去に訪れたことのあるサイトかどうか、今見ている画面のURLをブラウザのアドレスバーで確認し、知っているドメイン名に一致しているかを確認します。(ウィンドウにアドレスバーが存在しない場合は入力を中止します。)
  2. 暗号化が必要な場面かを考え、必要と思うならば、入力画面のアドレスが https:// で始まっていることを確認します。(または、南京錠アイコンの存在を確認します。サーバ証明書の内容の確認は不要です。)
  3. 必要な情報入力をします。

[ もっと詳しく ] (ドメイン名の一致を機械的に見分ける方法の例)

サイト運営者の鉄則

サイト運営者は、利用者をフィッシングの手口から守るため、以下の要件を満たすようサイトを設計、実装、運営するべきです。

  • アドレスバーやステータスバーを隠さない
  • 入力ページを https:// にする
  • 正規のサーバ証明書を購入してSSLを運用する
  • サービス提供者が保有するドメイン名を使う
  • まぎらわしくないドメイン名を使う
  • ドメイン名を利用者に周知する
  • 検索誘導広告を使わない
  • サイトからクロスサイトスクリプティング脆弱性を排除する

[ もっと詳しく ] (理由の説明)

よくある質問と答え

  • Q1: アドレスの確認を入力の直前にするのはなぜですか?(利用者)
  • Q2: 入力ページを https:// にしなければならないのはなぜですか?(サイト運営者)
  • Q3: アドレスバーは偽装されるから見てはいけないという噂を耳にしましたが?(利用者)
  • Q4: 再度訪れたサイトの場合にサーバ証明書の確認が不要なのはなぜですか?(利用者)
  • Q5: この鉄則が守られていれば必ず安全なのですか?
  • Q6: ワンタイムパスワードを使えば利用者はこの鉄則を知らなくてよいのでは? (サイト運営者)

[ もっと詳しく ] (質問の答え)

公開: 2007年3月23日

Yahoo!オークション 安全対策研究所

この解説は、ヤフー株式会社と産業技術総合研究所情報セキュリティ研究センターとの共同研究プロジェクト「インターネットにおけるセキュリティ強化技術の共同研究」の一環として制作したものです。この解説はどのサイトにも共通する一般論を整理したものですが、Yahoo!オークションでの場合を題材としてより具体的に注意点をまとめた、「Yahoo!オークション 安全対策研究所」もYahoo!オークションのサイトで公開されています。