Web サイトが安全に購入できるかどうかを確認する方法 (そして、自分の Web サイトが安全であることを証明する)

Oct 03, 2023

2020 年第 2 四半期の時点で、HelpNet Security は、毎日平均 18,000 を超える偽 Web サイトが作成されていると報告しました。 その計算に基づくと、年間平均少なくとも 657 万の詐欺 Web サイトが作成されたことになります。 これは、会社が偽のベンダーに詐欺に遭わないように、従業員は Web サイトから購入しても安全かどうかを確認する方法を知る必要があることを意味します。

ここで、見込み客の立場に立ってみましょう。 彼らはあなたの会社と取引するかどうかを検討しています。 あなたの Web サイトに関して、次のような質問がされる可能性があります。

ユーザーの観点から「安全な」サイトとは何か、また、Web サイトが安全に購入できるかどうかを判断する方法を見てみましょう。 また、Web サイトが安全で合法であることを訪問者に証明するために Web サイト管理者ができることについても説明します。

それをハッシュ化しましょう。

Web サイトの安全性を評価する場合、ユーザーが注意すべき点がいくつかあります。 従来は、ブラウザにセキュリティ南京錠のアイコンがないか確認するようユーザーに指示していました。 (何十年もの間、このアイコンは Web サイトが安全であることを伝える手段として機能してきました)。 ただし、最近別のブログ投稿で共有したように、Chrome バージョン 117 (2023 年 9 月頃) のリリースにより、Chrome の安全な南京錠アイコンが Dodo 鳥の役割を果たします。 なぜ？ それは、人々が安全な Web サイトを安全な Web サイトと誤解していたからです。 ただし、後で説明するように、これらの用語は同義ではありません。

Web サイトが HTTPS プロトコルを使用するということは、Web サイトが暗号化を使用してクライアントとサーバー間で送信されるデータを保護していることを意味します。 基本的に、Web サイト訪問者のブラウザは暗号化キーを使用してデータを暗号化し、受信側サーバーは復号化キーを使用してデータを復号化します。 これは、SSL/TLS 証明書を使用して可能になります。

したがって、安全な南京錠アイコンの代わりに、次のような「調整」アイコンが表示されます。

しかし、単に Web サイトが安全であると述べただけでは、Web サイトが安全かどうかを完全に把握することはできません。

しかし、暗号化されているからといって、自動的に安全であるとは限りません。 これが、Google Chrome セキュリティ チームがセキュリティ南京錠を完全に廃止することにしたと述べている 2 つの大きな理由のうちの 1 つです。

業界内では同じ意味で使用したい言葉がたくさんありますが、「安全」と「安全」を 2 つ混同してはいけません。 なぜ？ なぜなら、表面的には同じように聞こえても、実際は同じではないからです。

あ安全な 「Web サイト」とは、Web サイトが暗号化された接続を使用してデータを傍受攻撃から保護することを意味します。 これらのタイプの攻撃は、攻撃者 (つまり、中間者) が 2 つの通信当事者の間に入って、転送中のデータの読み取り、変更、または盗もうとするときに発生します。

あ安全一方、Web サイトでは、データの送受信に安全な接続を使用するだけでなく、機密データを受信する接続の相手が誰であるかを知っている必要があります。

安全な Web サイトは、検証可能な身元情報がなければ、誤った安全感を与えます。 たとえ最高の暗号化アルゴリズムを使用したとしても、相手（つまり、復号化キーを持っている人）が信頼できない場合は役に立ちません。

安全と安全の違いがわかったので、Web サイトの信頼性とセキュリティをチェックする方法をいくつか見てみましょう。

Web サイトから何かを購入したい場合は、クリックする前に Web サイトのドメインまたは特定の URL を Web サイト スキャナーで実行することをお勧めします。 これを実践すると、コンピューターやモバイル デバイスがマルウェアに感染するのを防ぐことができます。

たとえば、Web サイトの URL を VirusTotal.com の URL チェッカー ツールに入力して、何か気になる結果が表示されるかどうかを確認します。 たとえば、maliciouswebsitetest.com を例として使用しました。

短縮 URL (bit.ly、tinyurl、goo.gl など) を含むリンクを受け取った場合は、URL 展開ツールを使用して短縮 URL を完全バージョンに解析することもできます。 たとえば、短縮 URL https://bit.ly/3ME9e3D を拡張して https://thesslstore.com/blog としました。

Web サイトとそれを所有する組織のデジタル アイデンティティを評価することは、消費者にとっても従業員にとってもこれまで以上に重要になっています。 なぜ？ なぜなら、誰に接続しているのかが分からない場合、個人情報の盗難、不正購入、またはより重大なデータ侵害の被害者になる可能性があるからです。

Web サイトにアクセスしたら、サイトの SSL/TLS 証明書情報を確認できます。 組織検証 (OV) または拡張検証 (EV) 証明書を使用すると、組織の検証済みデジタル ID がドメインに関連付けられます。 たとえば、TheSSLstore.com の Web サイトのセキュリティ証明書には、共通名 (CN)、組織名 (O)、場所 (L)、州 (S)、およびその他の情報が表示されます。

このような情報はありませんか? おそらく、Web サイトがドメイン検証 (DV) 証明書を使用していることを意味します。 これは、証明書を発行した認証局 (CA) は、証明書の要求者がドメインを制御していることのみを検証したことを意味します。 企業自体の詳細な調査や追加のデジタル ID 検証は行われませんでした。

正規の企業が DV 証明書を使用することは珍しいことではありません。 すべての Web サイトに高いレベルの検証が必要なわけではありません (機密データを収集しない情報 Web サイトなど)。 ただし、これらの最小限の検証証明書は無料 (または低コストで購入できる) であり、ビジネス検証を必要としないため、サイバー犯罪者によってもよく使用されることに注意することが重要です。 実際、2021 年第 1 四半期における PhishLabs のフィッシング Web サイトの分析では、フィッシング Web サイトの 94% 以上がドメイン検証済み (DV) SSL/TLS 証明書を使用していることが示されました。

これらの最初のチェックを完了したら、次のステップは、Web サイトのコンテンツを批判的な目で見ることです。 コンテンツを読んで、製品と価格を確認し、「それは意味があるか?」と自問してください。

Web サイトが安全かどうかを判断するもう 1 つの優れた方法は、他の人が残したレビューを読むことです。 もちろん、これは絶対確実というわけではありません。悪意のある人が偽のレビューをオンラインに投稿したり、代わりに人を雇ったりする可能性があるからです。 しかし、詐欺に遭った人は必然的に Yelp、Trustpilot、Consumer Reports、Angie's List などのサイトに否定的なレビューを投稿するため、これは依然として追加の検証方法です。

また、Better Business Bureau (BBB) などの Web サイトをチェックして、過去数年間にその Web サイトまたは会社に対して苦情が提出されていないかどうかを確認することもできます。

まだ十分ではありませんか? さらに進んで、ドメインの所有者の正当性を確認することもできます。 米国では、企業が登録されていると主張する州の記録を確認することでこれを行うことができます。たとえば、ユタ州の法人および商法データベースのデータベースで、認証局 DigiCert, Inc に関する情報を検索できます。 .:

Web サイトが偽物または詐欺であるかどうかを判断する方法の詳細については、他の関連リソースを確認してください。

ここで、スクリプトを反転して、Web サイトの所有者と管理者の観点から物事を見てみましょう。 Web サイトの信頼性を高める方法を探している場合、それを達成するための最良の方法は、デジタル信頼を利用することです。

デジタル信頼はインターネット セキュリティの基盤であり、主に公開キー基盤 (PKI) に基づいています。 これには、PKI エコシステムを構成する標準、プロセス、CA、デジタル証明書、暗号キーに至るすべてが含まれます。 しかし、なぜデジタルの信頼を確立することが重要なのでしょうか? 次の点を考慮してください。

ベイマード研究所の調査によると、2023 年のオンライン ショッピング カートの平均放棄率は 69.99% です。 ここで、Baymard の他の調査で、消費者の 18% が、Web サイトのクレジット カード情報を信頼できない場合、チェックアウト時にカートを放棄することが示されていることを考えてみましょう。 これは、Web サイトを安全に使用できないと感じた顧客のほぼ 5 人に 1 人が立ち去ってしまうことを意味します。

では、Web サイトの信頼性、セキュリティ、安全性を証明するためにデジタル トラストをどのように活用できるでしょうか?

最初のステップは、ビジネス検証 SSL/TLS 証明書を購入し、Web サーバーにインストールすることです。 これにより、Web サイトと訪問者の Web クライアント間の接続が安全かつ暗号化されます。 このようにして、機密データは転送中の傍受攻撃や侵害から保護されます。

HTTPS を有効にすると、組織は業界のセキュリティとデータ プライバシーの標準および規制への準拠に一歩近づきます。 これには次のような規制が含まれます。

使用する SSL/TLS 証明書の種類に関係なく、暗号化は同じですが、証明書が提供できるデジタル ID のレベルには違いがあります。 たとえば、DV 証明書は最小限の検証 (および身元保証) を提供しますが、OV または EV 証明書はより高いレベルの検証を提供します。

機密データを収集する企業にとって、少なくとも OV 証明書を持っていることが重要です。 会社が機密性の高いデータ (財務情報、知的財産、医療または保険関連の情報など) を扱っている場合は、EV 証明書を使用するのが最適です。 EV 証明書を使用すると、最も厳格な検証チェックを受けていることが示されるため、ユーザーはより安心して Web サイトでビジネスを行うことができます。

DigiCert や Sectigo などの主要ブランドから SSL/TLS 証明書を購入すると、サイト シールと呼ばれるものも入手できます。 これは、Web サイトに表示される視覚的なセキュリティ マークであり、顧客からのより高いレベルの信頼を獲得するのに役立ちます。 通常、これらは 2 つのカテゴリのいずれかに分類されます。

以下は、TheSSLstore.com の DigiCert Secured Smart Seal をクリックしたときに表示される検証済み情報のスクリーンショットです。

Web サイトが安全に購入できることを証明するのに直接役立つわけではありませんが、会社名に関連するドメインを保護することは、将来のドメイン スプーフィング攻撃に関連する問題を回避するのに役立ちます。 これらの類似ドメインを購入し、HTTPS を有効にして、会社の実際の Web サイトにリダイレクトするように設定できます。

なぜわざわざこんな苦労をするのでしょうか？ サイバー犯罪者は、よく似たドメインを購入してブランドになりすまし、顧客をだまして正規の Web サイトであると信じ込ませます。 悪者が行う前にこれらのドメインを購入して保護することは、悪者が顧客をターゲットにして貴社の評判を汚す手段を 1 つ減らすことを意味します。

安全で安全な Web サイトを使用することがこれまで以上に重要になっています。 これは、ユーザーとして、デジタル ID 検証を探し、購入するオンライン ストアを慎重に評価して、暗号化された接続を使用しているかどうかを判断することを意味します。

Web サイトの所有者として、これはユーザーが Web サイトの信頼性を確認する方法を提供することを意味します。 これには、信頼できる第三者を使用して検証可能な方法でデジタル ID を主張することが含まれます。 一般に、信頼の観点から HTTPS を使用することがベスト プラクティスであるだけでなく、コンプライアンス要件でもあります。

この情報がお役に立てば幸いです。 いつものように、貢献したい追加の考えがある場合は、必ず以下のコメントセクションで共有してください。