お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。
2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。

安全なWebサイト利用の鉄則

産総研 > RCIS > 安全なWebサイト利用の鉄則 > 利用者の鉄則 − 再度訪れたサイトの場合

利用者の鉄則 ― 再度訪れたサイトの場合

今見ている画面が過去に訪れたサイトかどうか機械的に見分ける方法

アドレスバーに表示されたURLのドメイン名を確認するといっても、偽サイトが本物と見分けにくい紛らわしいドメイン名を使っているかもしれません。「l」(英字のエル)と「1」(数字の一)の違いは見分けにくいかもしれません。目視で確認するのには限界があるといえます。かといって、サイトを訪れるたびに「初めて訪れたサイトの場合」のサーバ証明書の内容を調べる方法で確認していたのでは手間がかかりすぎます。

Internet Explorerでは「信頼済みサイトゾーン」の機能を用いることで、過去に訪れたサイトかどうかを機械的に判別することができます。以下にその方法を紹介します。

前提: この方法を利用する際は、「信頼済みサイト」ゾーンのセキュリティレベルが、「中」以上の設定(「インターネット」ゾーンの設定と同じかまたはより厳しい設定)でなければなりません(図2-1)。

図2-1: 信頼済みサイトのセキュリティレベル設定に注意
図2-1: 信頼済みサイトのセキュリティレベル設定に注意

(1) まず最初に、「初めて訪れたサイトの場合」のサーバ証明書の内容を調べる方法で、今見ている画面が本物サイトかどうかを確認します。あるいは、アドレスバーに手入力で本物サイトの https:// で始まるURLを入力して本物サイトにアクセスします。

その状態で、アドレスバーからURLをコピーし、信頼済みサイト設定の「サイト」ボタン(図2-1参照)を押して現れる画面で、「次のWebサイトをゾーンに追加する」の欄に貼り付け(図2-2)、「追加」ボタンを押します。

図2-2: 信頼済みサイトゾーンにサイトを登録する様子
図2-2: 信頼済みサイトゾーンにサイトを登録する様子

登録すると図2-3のように「Webサイト」の欄に追加されます。ここで、「このゾーンのサイトにはすべてサーバの確認(https:)を必要とする」のチェックを外してはいけません。(チェックされた状態のままにしてください。)

図2-3: 信頼済みサイトゾーンにサイトを登録した様子
図2-3: 信頼済みサイトゾーンにサイトを登録した様子

「OK」ボタンを押して設定を終えます。

(2) そのサイトに再び訪れた際、ブラウザのステータスバーの右端部分(図2-4)を目視確認します。「信頼済みサイト」と表示されていれば、確認済みの本物サイトであると判別できます。「インターネット」と表示されているならば、偽サイトであるか、あるいは、まだ確認したことのないサイトだということになります。

図2-4: 確認済みのサイトかどうか見分ける
図2-4: 確認済みのサイトかどうか見分ける

https:// ページにアクセスするときの注意事項

https:// のページにアクセスしたときに図2-5の警告ウィンドウが現れたら、必ず「いいえ」を選択してアクセスを中止します。

図2-5: 通信路上で盗聴されている可能性があることを示す警告(Interner Explorer 6の場合)
図2-5: 通信路上で盗聴されている可能性があることを示す警告(Interner Explorer 6の場合)

この警告ウィンドウの最初の行に、「ほかの人から読み取られたり変更されることはありません」と書かれているのは、事実に反する誤りですので、読まないようにしてください。(Internet Explorer 7 ではこのような誤った表示は出なくなりました。)