■更新の理由について
2019 年 9 月 10 日にリリースされたブラウザ「Google Chrome 77」より、アドレスバーの表示が以下のとおりに変更されました。
Chrome 76 (Windows) | Chrome 77 (Windows) |
これまでEVサーバ証明書が正しく設定されているウェブサイトにおいてはアドレスバーの先頭にウェブサイトを運営している組織名が表示されていました。Google Chrome 77へのアップデートにより、表示される情報が鍵マークのみとなり、どこの組織が運営しているウェブサイトであるかが一目では識別できなくなり、意図した組織が運営しているウェブサイトであるかどうかを確認するためには表示されているアドレスバーの鍵マークをクリックすることが必要になりました。
GoogleのChrome Security UX チームは、今回の表示変更に至った理由として、独自の調査と学術研究の調査を通して、EVサーバ証明書の表示がユーザーを意図したとおりに保護していないという判断をしたと説明しています。
また、このGoogleの判断により、Mozillaも10月にリリースするブラウザ「Mozilla Firefox 70」より以下のとおりに同様の表示変更を行う意向です。
Firefox 69 (Windows) | Firefox 70 (Windows) |
しかし、Google は同時に EVサーバ証明書の価値に変化はないと認めており、CA/B フォーラムでも引き続き EV 審査の徹底が議論されています。
Googleセキュリティブログ
"EV UI Moving to Page Info"
https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md
なお、AppleはすでにSafariに同様の変更を、iOS12およびmacOS 10.14より行っています。
■EVサーバ証明書の確認方法
フィッシング対策協議会のウェブサイトに掲載されているフィッシング対策ガイドラインにおいて、利用者が正規なウェブサイトであることを判別可能とするために、ウェブサイト運営者がとり得る対策として「サーバ証明書の導入」が推奨されています。利用者がウェブサイトにアクセスした際に、アドレスバーに鍵マークが表示され、設定されているサーバ証明書がEVサーバ証明書である場合は、不正なウェブサイトへアクセスしてしまうことを未然に防ぐ可能性が格段に上がります。
フィッシング対策ガイドラインより引用:
"HTTPSによる暗号通信には、機密性保護に加え、アクセスしているWEB サーバの正当性(ドメイン名を含めたサーバ名と運営者との関係について認証局が確認をとっているということ)を検証する機能が備わっている。WEB サイト、WEB サービスに関する緊急時の連絡先およびガイダンスなど、WEB サイト運営者から正しく情報を伝える必要のあるページと個人情報を入力させるページはHTTPS でのアクセスを必須とし、利用者がWEB サイト運営者からページコンテンツが提供されていることを確認する手段を提供することが望ましい。WEB サイトで用いるサーバ証明書の種類については、フィッシング対策の観点からはDV(DOMAIN VALIDATION)ではなく、OV(ORGANIZATION VALIDATION)もしくはEV(EXTENDED VALIDATION)であることが望ましい。特に、EV はWEB サイト運営者の実在確認を厳格に実施した上で発行されるため、高い信頼を提供することができる。"
ブラウザにおける鍵マークの確認は、サーバ証明書が正しく設定されているウェブサイトにおいては、以下の画像のようにアドレスバーに鍵マークが表示されます。
しかし、鍵マークが表示されていれば必ずしも安全というわけではありません。
鍵マークをクリックすることで、設定されているサーバ証明書を表示させることができますが、サーバ証明書に記載された情報からウェブサイトを運営している組織を確認することが必要です。ただし、サーバ証明書の種類によっては、運営組織名が記載されないものがありますので、この点は注意が必要です。
EVサーバ証明書の確認方法については、Google Chrome 77へのアップデートが行われたことで、アドレスバーの表示が変更になりました。これまでEVサーバ証明書が正しく設定されているウェブサイトにおいてはアドレスバーの先頭にウェブサイトを運営している組織名が表示されていました。Google Chrome 77へのアップデートにより、表示される情報が鍵マークのみとなり、どこの組織が運営しているウェブサイトであるかが一目では識別できなくなり、意図した組織が運営しているウェブサイトであるかどうかを確認するためには表示されているアドレスバーの鍵マークをクリックすることが必要になりました。
[Google Chrome 77 おけるアドレスバーの表示サンプル]
しかし、上記のような方法でウェブサイトを運営する組織を確認することが可能なのはEVサーバ証明書のみであり、DVサーバ証明書やOVサーバ証明書については、以下のような表示になります。
EVサーバ証明書とは異なり、鍵マークのクリックを行っても証明書が有効であるかどうかが表示されるだけで、ウェブサイトの運営組織名までは表示されません。
またInternet Explorerの場合、EVサーバ証明書利用の表示は以下の画像のような表示となっており、一目でウェブサイト運営者の確認が可能です。
[Internet Explorerにおけるアドレスバーの表示サンプル]
フィッシング対策ガイドラインには、この他にも不正なウェブサイトへのアクセスを避けるために利用者が行える対策を記述しています。例えば、ウェブサイトのURLが正しいものであるかについて、特に初回のアクセス時には気を付けるべきですが、利用者カードや請求書などで確認して直接アドレスバーに入力することや利用されているドメインが、どの組織によって取得されているのかをWHOISと呼ばれる登録ドメインのデータベースで検索し確認することも有効です。
■各ブラウザによるサーバ証明書の表示の違い
各ブラウザによって、有効な証明書の表示に違いがあります。以下はその違いを理解するためにブラウザのアドレスバーをキャプチャしたものです。
おおよそ、DVサーバ証明書とOVサーバ証明書の表示には各ブラウザによって大きな差はありません。EVサーバ証明書の場合、Edgeはアドレスバーの横に証明書を取得した組織名を表示することで、そのウェブサイト運営者との照合が容易になっています。
一方 Safari はドメイン名を緑色で表示することで DV や OV との違いを示しています。しかしWindows版Chrome、FirefoxおよびAndroid版 Chrome はサーバ証明書のタイプによる表示の差がないため、アドレスバーの表示だけでは DV、OV、EV の中でどのサーバ証明書を使っているのか判断できません。Windows版ChromeやFirefoxは、前述の「■EVサーバ証明書の確認方法」に沿ってアドレスバーの鍵マークをクリックすることで、意図した組織が運営しているウェブサイトであるかどうかを確認することができます。
なお、これらの表示結果は、現状では各ブラウザによる独自の仕様であり、バージョンの違いおよび自動バージョンアップの適用状況などにより表示が異なる可能性があります。
証明書普及促進ワーキンググループでは、定期的にこのアドレスバーの表示についてお知らせしていきます。
[各ブラウザのアドレスバー表示]
※2019年10月8日時点
■目的のウェブサイトはどの証明書を使っているかについて
上記の表示の違いから、目的のウェブサイトがどの種類のサーバ証明書を利用しているのか不明瞭なため、判断に困る場合があります。その際には以下のサービスを利用することで、利用しているサーバ証明書の種類を確認することができます。
Check website security
https://ssltools.digicert.com/checker/views/checkInstallation.jsp
確認方法
- ① に目的のウェブサイトURLを入力して、右側の 「check」 を押す。
- 入力したウェブサイト URL にて利用されている証明書の種類が、② Certificate Type 欄に表示される。
- DV 証明書の場合 ... Domain Validated (DV)
- OV 証明書の場合 ... Organization Validated (OV)
- EV 証明書の場合 ... Extended Validation (EV) ※上図は EV の例
■証明書を使ったフィッシングサイトに要注意
「https://」で始まるサーバ証明書付きフィッシングサイトは継続して発生しています。当協議会が発信しているフィッシング緊急情報の約30%(2019年7月から9月)のフィッシングサイトに 、DVサーバ証明書が使われていました。DVサーバ証明書はドメイン名の登録権のみを確認して発行する証明書であるため、正規なウェブサイトに酷似した(一部の文字を変えたり足したりする等の)ドメイン名でも取得することができ、サーバ証明書を使ったフィッシングサイトを設置することが誰でも可能となってしまいます。2019年に入り、ゆうちょ銀行や三井住友カード、MyJCBなど、国内の銀行やクレジットカード会社、さらに鉄道会社やLINEを騙ったフィッシングにもサーバ証明書を使ったフィッシングサイトが見つかっており、注意が必要です。
なお、厳格な発行審査が行われているEVサーバ証明書がフィッシングサイトに使用されている事例は、現時点(2019年5月現在*)で見つかっていません。
*CA/BフォーラムUpdate on London Protocol:
https://cabforum.org/2019/08/16/minutes-for-ca-browser-forum-f2f-meeting-47-thessaloniki-12-13-june-2019/#Update-on-London-Protocol
[フィッシングサイトなのに証明書が使われている?]
三井住友銀行をかたるフィッシング(2019/09/26)
https://www.antiphishing.jp/news/alert/smbc_20190926.html
東京メトロをかたるフィッシング(2019/08/30)
https://www.antiphishing.jp/news/alert/tokyometro_20190830.html
■最後に
今回のアドレスバーの表示変更により、設定されている証明書がEVサーバ証明書であることを一見して識別できなくなりました。ただし、EVサーバ証明書の厳格な発行基準に変わりはなく、鍵マークを1クリックしてウェブサイト運営組織名を確認することが、安全なウェブサイトへのアクセスであることを確認できる重要な手段のひとつであることに変わりはありません。
アドレスバーの表示がシンプルになったことで、サーバ証明書が未設定の場合に表示される「安全ではありません」などの表記が目立つことになるため、ウェブサイト運営におけるサーバ証明書設定の必要性がより高まったといえるでしょう。
なお、サーバ証明書が設定されている HTTPS サイトであっても、フィッシングサイトや偽サイトの可能性があります。多くはDVサーバ証明書が設定されたものですが、サーバ証明書が設定されているフィッシングサイトの割合が増加しています。
ブラウザの表示に対して適切な認識を持ち、また証明書確認サービスを利用することで証明書の種類や ウェブサイトに掲載されている情報に疑わしい点がないか確認を行うことをお勧めします。
■関連情報
証明書普及促進ワーキンググループでは、DV、OV、EV の 3 種類のサーバ証明書の扱い方について、ウェブサイトを運営する側 (事業者) 向けにも記事を公開しています。
・常時 SSL に向けてウェブサイト運営者が知っておくべき基礎知識 (2019/04/17)
https://www.antiphishing.jp/report/wg/_ssl_baseknowledge.html
・SSL / TLS サーバ証明書のユースケースついて(2018/03/29)
https://www.antiphishing.jp/report/wg/_sslusecase_20180329.html
<証明書普及促進 WG>
主査:田上 利博 (サイバートラスト株式会社)
副主査:稲葉 厚志 (GMO グローバルサイン株式会社)
<会員組織>
阿部 貴 (デジサート・ジャパン合同会社)
石川 堤一 (キヤノンマーケティングジャパン株式会社)
伊藤 健太郎 (一般財団法人日本情報経済社会推進協会)
加藤 孝浩 (トッパン・フォームズ株式会社)
白岩 一光 (株式会社日本レジストリサービス)
林 正人 (デジサート・ジャパン合同会社)
平澤 悠士朗 (セコムトラストシステムズ株式会社)
山賀 正人 (CSIRT研究家)
<本件に関するお問い合わせ先(報道関係も含む)>
フィッシング対策協議会事務局(JPCERT コーディネーションセンター内)
E-mail: antiphishing-sec@jpcert.or.jp