SSL に関しては誤解が多い。「SSL だから安心」という言われ方をするが、正確には、「SSL だから、繋ごうとしたサイトに繋がっていて、第３者に通信内容を知られる心配は無い」ということであって、「かけた電話番号にちゃんと電話が繋がって、会話の内容を盗聴されていない」からといって、安心ではない。相手は詐欺師かもしれない。

私も以前にそういった事を書いたことがある。

失敗学に似ているかも - JULYの日記

だから、SSL という言葉で安心しちゃだめだよ、という注意喚起は必要だが、だからといって、むやみに不安を煽れば良いというものではない。

SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営 - ITmedia エンタープライズ

一般の人がこれを読んだら、「わぁ、SSL って信用できない」と思うかもしれない。でも、ちょっと SSL の事をかじったことがあれば、この記事は意味不明な感じがするだろう。

で、元のブログを探してみた。

Phishing Toolkit Attacks are Abusing SSL Certificates | Symantec Connect

決して英語に自信があるわけじゃないが、このブログに貼り付けられている２つめのイメージで確信した。

URL 見れば分かるじゃん

SSL で繋がったから大丈夫、では無いことは、下記のページにまとめられている。

産総研 RCIS: 安全なWebサイト利用の鉄則

鍵マークは、あくまでも証明書の発行先とサーバが一致した事を表しているのであって、その発行先がどこになっているかは、アクセスしている URL を確認する必要がある。URL を見るのは直感的に確認しずらいこともあるから、最近のブラウザでは、証明書が証明しているドメイン名（EV SSL の場合は組織名）を目立つように表示する工夫をしている。

高木浩光＠自宅の日記 - Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される, 地域型ドメイン名は廃止してはどうか

元のブログでも、１つめのイメージで「ほら、本物の Verisign の証明書だ」と示しておいて、２つめのイメージで「でも、本物のサイトと詐欺サイトでは、発行対象（Issued To）が違う」事を示している。

IT Media の記事が、１つめのイメージだけを切り出して使っているのを見ると、まるで、証明書が偽造されているような印象を受ける。

というより、このイメージだけを貼り付けて、「詐欺サイトでのSSL証明書（Symantecより）」などと書いているのを見ると、この記事を書いた人も理解しているとは思えないのだが...。

追記（09/07/11）：
IT Media の記事に貼り付けられていたイメージは削除されていますね。削除された理由が、ブログに掲載されたイメージを勝手に編集していたからなのか、不適切と判断したからなのかは分かりませんが。