たぶん、記者が勘違い?
SSL に関しては誤解が多い。「SSL だから安心」という言われ方をするが、正確には、「SSL だから、繋ごうとしたサイトに繋がっていて、第3者に通信内容を知られる心配は無い」ということであって、「かけた電話番号にちゃんと電話が繋がって、会話の内容を盗聴されていない」からといって、安心ではない。相手は詐欺師かもしれない。
私も以前にそういった事を書いたことがある。
だから、SSL という言葉で安心しちゃだめだよ、という注意喚起は必要だが、だからといって、むやみに不安を煽れば良いというものではない。
SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営 - ITmedia エンタープライズ
一般の人がこれを読んだら、「わぁ、SSL って信用できない」と思うかもしれない。でも、ちょっと SSL の事をかじったことがあれば、この記事は意味不明な感じがするだろう。
で、元のブログを探してみた。
Phishing Toolkit Attacks are Abusing SSL Certificates | Symantec Connect
決して英語に自信があるわけじゃないが、このブログに貼り付けられている2つめのイメージで確信した。
URL 見れば分かるじゃん
SSL で繋がったから大丈夫、では無いことは、下記のページにまとめられている。
鍵マークは、あくまでも証明書の発行先とサーバが一致した事を表しているのであって、その発行先がどこになっているかは、アクセスしている URL を確認する必要がある。URL を見るのは直感的に確認しずらいこともあるから、最近のブラウザでは、証明書が証明しているドメイン名(EV SSL の場合は組織名)を目立つように表示する工夫をしている。
高木浩光@自宅の日記 - Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される, 地域型ドメイン名は廃止してはどうか
元のブログでも、1つめのイメージで「ほら、本物の Verisign の証明書だ」と示しておいて、2つめのイメージで「でも、本物のサイトと詐欺サイトでは、発行対象(Issued To)が違う」事を示している。
IT Media の記事が、1つめのイメージだけを切り出して使っているのを見ると、まるで、証明書が偽造されているような印象を受ける。
というより、このイメージだけを貼り付けて、「詐欺サイトでのSSL証明書(Symantecより)」などと書いているのを見ると、この記事を書いた人も理解しているとは思えないのだが...。
追記(09/07/11):
IT Media の記事に貼り付けられていたイメージは削除されていますね。削除された理由が、ブログに掲載されたイメージを勝手に編集していたからなのか、不適切と判断したからなのかは分かりませんが。