カテゴリーなし

MarkMonitor 20年の知見2019年のドメイン戦略

MarkMonitor 20年の知見:2019年のドメイン戦略 Chris Niemi Manager, Domain Service 2019年6月11日 MarkMonitorはオンライン上のブランド保護およびコーポレートレジストラ事業として20周年を迎えます。MarkMonitorのクライアントの多くはFortune 1000企業です。ビッグブランドにとって信頼できる戦略的パートナーに成長したと言えるでしょう。独自のデータと分析能力を比類ない専門知識と組み合わせることで、MarkMonitorは、ブランド保護戦略においてドメイン名ポートフォリオの有効性と価値の最大化を目的とした有意義な判断を行うためのソリューションを提供します。   ドメイン戦略チーム MarkMonitorには、ドメイン分野のエキスパート、クライアントサービスマネージャー(CSM)がいます。またドメイン戦略チームで構成されるクライアントサービス部門が提供する情報など、さまざまなソリューションをクライアントに提供しています。クライアントサービス部門はクライアントパートナシップマネージャー(CPM)と呼ばれる専門家と、クライアントのためにカスタマイズされた調査、分析、およびガイダンスを提供するメンバーで構成されています。 ドメイン戦略チームは、ジオターゲティングドメインスコアリング™(Geo-Targeted Domain Scoring™)などのデータ駆動型ソリューションを開発しています。またさまざまな戦略ソリューションをクライアントに提供するためコンサルティングサポートを提供しています。   ジオターゲティングドメインスコアリング™(Geo-Targeted Domain Scoring™) MarkMonitorの標準ドメインスコアリングは、ドメインポートフォリオの健全性を評価するための実用的なフレームワークを提供します。当社独自のアルゴリズムは、1000ポイント単位でドメインをスコア付けします。 変数は、ビジネス要因(例えば、ポートフォリオ内の特定のブランド文字列の普及率)を客観的な市場ベンチマーク(例えば、特定のTLDの世界的人気、キーワード検索量、およびトラフィック概算)と組み合わせて個々のスコアを導き出します。結果はMarkMonitorポータルにアップロードされ、見直しのために簡単にエクスポートできるため、ポートフォリオ調整が容易です。コスト削減すべきドメインも特定できます。 ビジネスを自国の特定の地域に集中して展開しているクライアントのために、MarkMonitorは、企業の本社所在地と地理的に親和性のあるTLD内のドメインに特化し、カスタマイズされた地域ターゲットドメインスコアリングを提供しています。世界的に重要なTLDのドメインは、コア(すなわち最高得点)ドメイングループから完全に消えることはありません。しかしドメインスコアはローカル地域を明確に反映することになります。   ポートフォリオアドバイザリーサービス MarkMonitorは、ドメインスコアリングと独自のクライアント要件を活用して、クライアントがドメインポートフォリオの規模を適切に決定できるように支援します。 各ドメインが評価されることで、登録失効のための(低価値)候補および回復および/または登録のための(高価値)ドメイン名が識別され、クライアントのリスク許容度のフィルターを通して最適化の洞察が得られます。クライアントのビジネスの必要性とクライアントのドメインポートフォリオの調整をもたらす重要な決定をするのをサポートします。   ブランドの確立サポート デジタル時代に新しいブランドを確立するには複雑なプロセスが伴います。関連部署は複数の事業グループにまたがり、しばしば外部部門も関与することがあります。 そのような複雑なプロセスの中で、重要なポイントの見落としは常に存在するリスクです。 MarkMonitorは、コーポレートドメイン分野のエキスパートとして、オンラインIP、ドメイン名、ソーシャルメディアの処理が適切にブランド確立プロセスに統合され、煩雑にならないようにするために必要なガイダンスを提供しています。   次のステップ MarkMonitorのブランド保護戦略のサポートやその他のドメインコンサルティングについては、ドメインサービスグループにお問い合わせください。 業界をリードするサイバーセキュリティ、サービス、およびテクノロジーをクライアントに提供してから20年が経ちました。MarkMonitorはこれからもクライアントのドメインポートフォリオ管理およびブランド保護アプローチを強化するための最適な戦略を開発、ご提供して参ります。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

サイバーセキュリティのポイント2019年ニューヨークサミットより

サイバーセキュリティのポイント 2019年ニューヨークサミットより MarkMonitor 2019年6月4日 5月7日、ニューヨークにて毎年恒例のMarkMonitorサミットが開催されました。著名なセキュリティブロガーであり、調査ジャーナリストでもあるBrian Krebs氏が基調講演を行い、最新のオンラインのスキームとネット詐欺について紹介、分析しました。 Krebs氏はブランドと消費者へのダメージや時間の経過に伴うサイバー脅威の進化を、判断が困難な曖昧なものから悪名高いものまで実例を用いて定量化しました。 共通テーマはブランド権利者への脅威です。 それは決して収まることはなく、変容し続けます。決定的な解決策がない場合は、備えと対応を規定しておくことが重要です。   新たなDNSの脅威 Krebs氏は最近のDNSハイジャックの例の一つとして、イランがサポートしていると見られるハッカーによって行われた事例を挙げました。 米国国土安全保障省(DHS)の一部門であるCISA(サイバーセキュリティおよびインフラストラクチャー機関)は、この事件により非常に稀有なケースですが、緊急指令を出しました。この事件以前には、ヨーロッパのネットインフラに関連する無数のサイト、および中東の企業や政府機関のDNS情報の違法操作が起こっています。 この攻撃は様々な侵害可能ポイントから侵入していましたが、その中でも2要素認証(2FA)やレジストリロックを採用していないレジストラアカウントが多く含まれていました。 これらのアカウントは、標的型スピアフィッシング攻撃によって侵害され、その結果、レジストリとレジストラ間でコマンドを送受信するために使用される言語であるEPPによってDNS情報が非常に短い期間(文字通り数分間)で変更されました。 短時間ではありますが、サイトの偽DV証明書を発行し、ハッカーが関連するシステムやサイトのデータを収集するのには十分な時間でした。   ドメインセキュリティの重要性 このサイバー攻撃の事例から、2FAの使用義務付けている企業専用レジストラを利用する必要性があることがわかります。 これ以外の不具合もありますが、問題となっているドメイン所有者がMarkMonitorがクライアントに提供しているようなサービスシステムを使用していたならば、侵害の大部分は避けられたかもしれません。これらの安全策に加えて、レジストリロック(利用可能な場合)を利用すれば、DNSを変更するEPPコマンドが送信されるのを防ぐことができます。 仮にMarkMonitorのクライアントに不正な変更が行われた場合、DNSモニタリングにより、レジストリで公開されたDNSとクライアントアカウントに表示されたDNSの不一致の警告が表示されます。   セキュリティのコツ Krebs氏は、リスクをできるだけ軽減するために、職場で採用できるチェックリストを紹介し、「悪人はたった一度の成功でよいが、善人は誤りを犯さず、100%正しいことをしなければならない」と話しています。   あなた/貴社は外部からどのように見られていますか(“壊れた窓”理論) 貴社の公開データをネット犯罪者が見た時、侵害が簡単なターゲットと見られるでしょうか? 幅広いリテールレジストラを使用しているか、レジストリで重要なドメインをロックしているか、登録機関がアクセス可能なDNSを使用しているかなどはWHOISから確認することができます。 解決策を探る 第三者のリスクを管理する あなたのシステムやサイトを利用しているパートナーやベンダーは誰ですか?そのセキュリティレベルは信頼できるものでしょうか? これもまた – ドメインの世界では – 定期的なペネトレーションテストを行い、ソーシャルエンジニアリングとスピアフィッシング訓練を行う時はいつでも、レジストラに直接レジストリと連携し、二要素認証を義務付けることが大切です。 二要素認証 多くのリスクは、従業員とベンダー間で二要素認証を徹底させることで簡単に軽減できます。 定期的なセキュリティの確認/テストを実施 テスト前に受験者に情報を提供しないようにしましょう。 違反対応計画を立てる そして対応訓練を実施する。 従業員/ユーザー/顧客アカウントへのパスワードスプレー攻撃 最近の攻撃では、最も使用頻度の高いトップ100のパスワードを単純にランダムに適用しています。それらを企業の電子メールのアクティブディレクトリリストに適用しています。 DNSとSSLの変更を監視、記録、警告する 不正な変更が発生した場合に即座に対応できるように、リアルタイムに警告されるようにします。 アラート設定はRSSと同様に簡単です。 MarkMonitorは常に管理するドメインのDNSを監視して、レジストリレコードがMarkMonitorの保有情報と一致することを確認しています。MarkMonitorは何年にもわたりこのDNS監視機能を実施してきました。そしてこの機能により、多数のレジストリ運用者がシステム侵害を特定する前に警告を発することができるのです。 積極的にセキュリティ保護に取り組む 重要なのは、脆弱性が検出されたときに第三者からのフィードバックに耳を傾け、それらの意見をすぐに却下しないことです。   デジタルの脅威からあなたのブランドを保護することについての詳細は、最新のビジネス調査レポートをご覧ください。 MarkMonitorのソリューションについてはこちら 英語原文はこちら

WHOISの今後ICANN理事会がEPDPフェーズ1最終報告書を承認

WHOISの今後:ICANN理事会がEPDPフェーズ1最終報告書を承認 Brian King Director of Internet Policy and Industry Affairs 2019年6月4日 2019年5月15日に開催されたICANN理事会の特別会議において、EPDPのフェーズ1最終報告書に盛り込まれた方針に関する推奨事項29件中27件が承認されました。本フェーズ1報告書は、EUの一般データ保護規制(GDPR)に準拠したWHOIS(現「登録データ」)の再開発を目的とした、ICANNコミュニティによる総意に基づく方針(コンセンサスポリシー)の策定に向けたボトムアップの取り組みが始まったことを意味します。ICANN理事会は、同コミュニティがコンセンサスポリシーを策定するまでの短い期間、登録データをGDPRに準拠させるための緊急対策として暫定仕様(Temporary Specification)を可決していましたが、本報告書に加え、EPDPのフェーズ2を以って、この暫定仕様が終了します。 EPDPのフェーズ2では、登録データにアクセスする合法的な根拠を持つ組織が、実際にデータにアクセスするための枠組みを定めるための取り組みが、すでに始まっています。     方針内容 ボトムアップのコンセンサスポリシー案は過去に承認されているため、EPDPの推奨事項の大多数について、ICANN理事会は十分に検討することなく、これらを承認することが予想されていましたが、実際、その通りになりました。ICANN理事会は、最終的な「サニティチェック」として、ICANN(法人)に委託された義務の下で、カリフォルニア州非営利公益法人(California Nonprofit Public Benefit Corporation)としての公共の利益のために、フェーズ1報告書に盛り込まれる推奨事項29件中2件を却下しました。 MarkMonitorが先日開催したウェビナーの中で、現行の暫定仕様に基づき登録データが公開可能になり、新登録データポリシー(Registration Data Policy;ICANN使用のタイトル)に基づきデータの取得が可能になる変更内容について説明しました。変更点の一部をご紹介します。   管理者情報がなくなります。 レジストラが登録者に技術窓口を指定する機能を提供する義務がなくなります。 レジストラが技術窓口に対応する場合、技術者情報は、名前、電話番号、Eメールアドレスの3項目に制限されます。 WHOISが提供する31項目(Phone/Fax Extension(電話/FAXの内線番号)フィールドを個別に数えない)のうち、登録データポリシーの下で義務付けられる項目は3件のみです。概要は、以下の表をご覧ください。     除外された項目 EPDPのフェーズ1では、目的2が大きな物議を醸し、知的財産所有者、政府、サイバーセキュリティ専門家、消費者保護団体は、暫定仕様に記載され、GDPRに義務付けられる通りに、登録データを処理するという目的を明示的に認めるように要求しました。 一方で、保護団体は、この問題におけるICANNの役割を最小限に制限することを求め、レジストリやレジストラは、このデータを合法的に第三者に提供できることを認める前に、確実な法的根拠を求めました。最終報告書では、第三者のタイプを明示的に指定せずに第三者アクセスを推進することで、安全で安定性や回復力のあるDNSの調整というICANNの役割(Mission(ミッション)やBylaws(定款)にまとめられる通り)を認めた、混合型の「暫定」目的2によって、この膠着状態が解消されました。 先日、ICANNと欧州委員会(EC)の間で交わされた公開通信の内容から、ICANNの目的と第三者の目的を区別するために明確性を向上させる必要性が明らかとなったため、理事会はさらなる改善のため、この目的を却下し、差し戻しました。 また、現在Organization(組織)フィールドに記載されるすべてのデータの一斉消去をレジストラに認める推奨事項12の内容を一部却下しました。推奨事項12は、このフィールドには法人名しか意図されていないにも関わらず、個人データが含まれる可能性があるため削除する必要があることが理解できない、ICANNコミュニティの人々に関わる問題でした。 ところが、理事会は、このデータを全消去すると、「登録者を特定するための情報が失われる可能性がある」と警告しながら、Organizationフィールドの非公開を義務付ける推奨事項12の一部を承認しました。その結果、Organizationフィールドは、要請があった場合に、レジストラの裁量で公開するか、フェーズ2で判断される「知る必要がある場合」に限り、公開されることになります。   今後の展望 理事会が、分野別ドメイン名支持組織(GNSO)の圧倒的多数によって可決されたコンセンサスポリシーを一部でも却下した例は、ほとんどありません(初めてのことかもしれません)。却下された推奨事項について、GNSO評議会との協議が始まります(https://www.icann.org/resources/pages/bylaws-2018-06-22-en#annexA1ICANN Bylaws, Annex A-1, Section 6.c.)。GNSOは、この結果に基づき、推奨事項を確定または修正の上、理事会に再提出することができます。 承認された推奨事項は、ICANNの実装フェーズに入ります。このフェーズでは、レジストラとレジストリが2020年2月29日までに、新ポリシーへの準拠を達成させる必要がありますが、理事会は「実装が複雑であり、また、データ保護当局(DPA)その他のソースから推奨事項に対する追加フィードバックが提供される可能性があるため、期日までに完了しない可能性がある」と警告しています。この期間中、レジストラとレジストリは、現行通り、暫定仕様のルールに基づき、事業を継続することができます。 MarkMonitorは、EPDPのフェーズ2における登録データへのアクセスモデルを統一するための取り組みも含め、継続的に、知的財産所有者、消費者保護団体、サイバーセキュリティ専門家をサポートします。ご質問やご提案がある場合、または本活動への参加をご希望の場合は、MarkMonitorまで直接ご連絡ください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

Standards AustraliaとTechstreetが提携を発表

.clearfix::after{ content: “”; display: block; clear: both; Standards AustraliaとTechstreetが提携を発表 ~Australian Standards®を含むコンテンツの販売契約を締結~ 2019年5月31日   Standards Australiaとクラリベイト・アナリティクス社Techstreetビジネス部門は提携し、オーストラリア全土の業界やコミュニティにおけるイノベーション、安全性、コンプライアンスを支援するコンテンツへのアクセスを拡大するための新しい販売契約を締結したことを発表しました。   Techstreetは、この新たな契約の下で、Australian Standards®や、ISOやIECの資料などの他の技術文書を含む、Standard Australiaのコンテンツのハードコピーおよび電子PDF版の追加販売代理店となります。   ユーザーはまもなく、e-book store を通じて、またTechstreetの標準管理プラットフォームであるTechstreet Enterpriseのサブスクリプションサービスを通じて、Standards Australiaのコンテンツにアクセスが可能となります。   Techstreet Enterpriseは、世界最大級の産業コードと工業規格のコレクションに容易にアクセスが可能となります。また、極めて重要な情報の管理や迅速な意思決定を支援するWebベースのワークフローツールを提供します。   プレスリリースはこちら(英語)     本件に関するお問合せ クラリベイト・アナリティクス・ジャパン株式会社 広報部 TEL: 03-4589-3100 E-mail : marketing.jp@clarivate.com IPソリューションズ本部 TEL: 03-4589-3101 E-mail : marketing.jp@clarivate.com

Standards AustraliaとTechstreetが提携を発表

.clearfix::after{ content: “”; display: block; clear: both; Standards AustraliaとTechstreetが提携を発表 ~Australian Standards®を含むコンテンツの販売契約を締結~ 2019年5月31日   Standards Australiaとクラリベイト・アナリティクス社Techstreetビジネス部門は提携し、オーストラリア全土の業界やコミュニティにおけるイノベーション、安全性、コンプライアンスを支援するコンテンツへのアクセスを拡大するための新しい販売契約を締結したことを発表しました。   Techstreetは、この新たな契約の下で、Australian Standards®や、ISOやIECの資料などの他の技術文書を含む、Standard Australiaのコンテンツのハードコピーおよび電子PDF版の追加販売代理店となります。   ユーザーはまもなく、e-book store を通じて、またTechstreetの標準管理プラットフォームであるTechstreet Enterpriseのサブスクリプションサービスを通じて、Standards Australiaのコンテンツにアクセスが可能となります。   Techstreet Enterpriseは、世界最大級の産業コードと工業規格のコレクションに容易にアクセスが可能となります。また、極めて重要な情報の管理や迅速な意思決定を支援するWebベースのワークフローツールを提供します。   プレスリリースはこちら(英語)     本件に関するお問合せ クラリベイト・アナリティクス・ジャパン株式会社 広報部 TEL: 03-4589-3100 E-mail : marketing.jp@clarivate.com IPソリューションズ本部 TEL: 03-4589-3101 E-mail : marketing.jp@clarivate.com

Standards AustraliaとTechstreetが提携を発表

.clearfix::after{ content: “”; display: block; clear: both; Standards AustraliaとTechstreetが提携を発表 ~Australian Standards®を含むコンテンツの販売契約を締結~ 2019年5月31日   Standards Australiaとクラリベイト・アナリティクス社Techstreetビジネス部門は提携し、オーストラリア全土の業界やコミュニティにおけるイノベーション、安全性、コンプライアンスを支援するコンテンツへのアクセスを拡大するための新しい販売契約を締結したことを発表しました。   Techstreetは、この新たな契約の下で、Australian Standards®や、ISOやIECの資料などの他の技術文書を含む、Standard Australiaのコンテンツのハードコピーおよび電子PDF版の追加販売代理店となります。   ユーザーはまもなく、e-book store を通じて、またTechstreetの標準管理プラットフォームであるTechstreet Enterpriseのサブスクリプションサービスを通じて、Standards Australiaのコンテンツにアクセスが可能となります。   Techstreet Enterpriseは、世界最大級の産業コードと工業規格のコレクションに容易にアクセスが可能となります。また、極めて重要な情報の管理や迅速な意思決定を支援するWebベースのワークフローツールを提供します。   プレスリリースはこちら(英語)     本件に関するお問合せ クラリベイト・アナリティクス・ジャパン株式会社 広報部 TEL: 03-4589-3100 E-mail : marketing.jp@clarivate.com IPソリューションズ本部 TEL: 03-4589-3101 E-mail : marketing.jp@clarivate.com

White Rabbitとの戦略的提携により強化されたCompuMarkの中国商標ソリューション

White Rabbitとの戦略的提携により強化されたCompuMarkの中国商標ソリューション   世界中の商標専門家にとって、中国の動向は、いま最も気がかりなものとされています。CompuMarkが昨今行った調査結果では、2018年の世界の出願数の70%が中国からの出願であることが明らかにされています。今後中国で商標調査や監視を行う上で、中国の商標業界の動向を把握することが重要なことは言うまでもない状況です。 CompuMarkは2018年に出展をしたINTAの中で、中国の商標リーディングカンパニーである、White Rabbitとの戦略的提携を発表しました。以降、CompuMarkはお客様に中国商標ソリューションをお届けすべく、製品の機能強化を行ってまいりました。 最新の製品の機能強化は以下の通りとなります。   データ提供速度の向上 業界一の充実度と品質を誇るCompuMarkの中国データが、昨年より一ヶ月早くSAEGIS® 及びTM go365™上で利用可能になりました。これにより、お客様に最新のコンテンツへのアクセスを確保いただけるようになりました。   意匠検索・図形商標検索に関する検索対象データベースの追加 9百万件を超える中国の登録・審査係属中の図形商標をTM go365に追加しました。 これにより、世界の知的財産庁で利用されているCompuMarkの図形認識機能を利用した、中国の図形商標検索が可能となりました。またこれに加え、中国の意匠検索もTM go365でご利用いただけるようになりました。   Non-Latin Character Searching(日本語・中国語での検索が可能になりました) 中国語と日本語の文字から成る商標及び所有者の検索が可能になりました(対象データベースは中国・日本のみ)。「商標(オリジナル)」又は「権利者名(オリジナル)」の項目に中国語又は日本語を入力すると、英語の音訳ではなく現地語での結果が得られます。日本商標に関しては、「称呼・発音(オリジナル)」に全角カタカナを入力すると、称呼に基づく検索が可能です。   Non-Latin Character (NLC)ウォッチの改善 漢字によるNLCウォッチにおいて、Hit商標の漢字を(これまでの画像形式に対して)文字形式としてご報告することで、Hit商標に対する追加のオンライン調査を簡単に実施いただけるようになりました。   中国データにおける正確性の向上 中国商標局は一出願多区分制度を運用していますが、商標の審査及びステータスの更新は一出願一区分の手順を用いています。そのため、中国商標局と同じようにSAEGIS及びTM go365の中国検索結果を表示すべく、当社のシステムを更新しました。これにより、異なる国際分類における出願がそれぞれ異なるステータスである際にも、最も正確且つ最新の情報を確実にご覧いただけるようになりました。*ウォッチングに関しては、業務の重複回避のため、複数の国際分類が同時に公告された場合に限り、多区分形式のWatch Noticeを引き続きお送りいたします。   CompuMarkでは、お客様が自信を持って、中国でブランドを展開され、そして監視を行っていただけるよう、引き続き中国データとサービスの向上を行ってまいります。   原文はこちら >   本件問合せ先 クラリベイト・アナリティクス・ジャパン株式会社 CompuMark 〒107-6119 東京都港区赤坂5-2-20 赤坂パークビル19階 TEL: 03-4589-2300 E-mail : compumark.cs.group.jp@clarivate.com

世界の商標出願件数の推移(1980年~2018年)

世界の商標出願件数の推移(1980年~2018年)   CompuMarkは1980年~2018年の世界の商標出願件数の推移を約60秒間の動画にまとめました。 この動画は商標出願件数において、いま世界で最も注目されている中国の出願件数の推移を容易に理解することができます。 CompuMarkは以前から中国の出願動向に注目していました。 2018年に発表した商標レポートでも、中国のブランドが出願件数においてわずか4年で急増し第10位から第2位まで駆け上がった背景と道のりをまとめています。 世界の商標出願件数の動向と、際立った成長を続ける中国の動向を、動画とレポートおよび、最新のブログも合わせて是非ご確認ください。   レポートはこちら > ブログはこちら >     https://clarivate.jp/wp-content/uploads/2019/05/video.mp4   ※再生ボタンを押すと動画が始まります。音声はございません。

【新gTLD】ドメイン名優先登録受付情報

【新gTLD】 「.madrid」「.zuerich」最新情報   新gTLDのサンライズ(優先登録申請)受付情報を下記にご案内いたします。 ※登録申請受付期間は異なる場合がありますので、登録をご希望の場合は、お早目にお問い合わせください。   《サンライズ登録対象TLD》 № TLD サンライズ 申請期間 ランドラッシュ 申請期間 一般登録 申請期間 プロバイダ ブロッキング 有無 1 .madrid 2019-07-16 | 2019-10-03 2019-07-16 | 2019-10-03 2019/10/10 Comunidad de Madrid なし 2 .zuerich 2019-07-22 | 2019-09-23 2019-08-19 | 2019-09-23 2019/10/14 Kanton Zürich (Canton of Zurich) なし   《ランドラッシュ登録対象TLD》 № TLD サンライズ 申請期間 ランドラッシュ 申請期間 一般登録 申請期間 […]

SSLサーバー証明書に騙されない!すべてのカギマークが安全とは限りません

SSL証明書に騙されない!すべてのカギマークが安全とは限りません。 Stefanie Ellis Portfolio Marketing Manager, MarkMonitor 2019年5月16日 Facebookでつながりのあるセキュリティ業界以外の友人を対象に、アドレスバーに表示される南京錠アイコンとその意味について、非公式の調査を行いました。結果は、「わからない」、「閲覧中のウェブサイトが安全であるという意味」や「httpsの末尾の『s』がついている理由」という回答に分かれました。残念ながら、南京錠やhttpsの末尾の「s」は、閲覧中のウェブサイトが有効かつ正規のもので、そのウェブサイトは安全であるという誤った認識を持っていることがわかりました。   南京錠アイコン(あるいは、「Secure」という言葉や、時には組織名)とhttpsの末尾の「s」は、閲覧中のウェブサイトの所有者が、ユーザーのブラウザからウェブサイトに転送されるデータを暗号化するSSLサーバー証明書を購入していることを意味しています。   ところが、ウェブサイト自体は、必ずしも正規で安全なものであるとは限りません。この違いが重要なのです。   SSLサーバー証明書とは何か? SSLとは、ウェブサーバーとブラウザ間の通信チャネルを暗号化するテクノロジー名である「Secure Sockets Layer」の頭文字です。ウェブアドレスに含まれるhttpの末尾の「s」は、このテクノロジーが使われていることを示しています。送信データの機密性を守るためのものです。   SSLによるユーザーデータの保護は、業界基準として、インターネット全体で広く活用されています。通信チャネルをSSL暗号化するためには、ウェブサイトの所有者が認証局(CA)からSSLサーバー証明書を購入しなければなりません。   (命名規則に関する注記:SSLは、Transport Layer Securityを意味するTLSとも呼ばれます。これは、基本的に新しいバージョンのSSLです。多くのベンダーは「SSL/TLSサーバー証明書」というフレーズを使用していますが、これらのプロトコルは証明書そのものではなく、サーバー設定で決まるものであるため、正確には「SSLやTLSを使用していることの証明」と呼ぶべきでしょう。ここでは、SSLサーバー証明書と総称します。)   ほとんどのユーザーが知らないこと 購入可能なSSLサーバー証明書には、さまざまなレベルがあります。ベーシックな証明書は、ドメイン認定(DV)型です。これは、単に申請者がドメイン名を管理していること(WHOISの連絡先宛てに送信されたEメールに返信する、特定のTXTレコードをそのドメイン名のDNSゾーンファイルに追加する、あるいは特定のテキストファイルをドメイン名のウェブサイトに追加すること)を証明するものです。   企業認証(OV)SSLサーバー証明書の認定プロセスには、ドメイン所有権や組織情報の確認作業が含まれるため、DV証明書よりも認定に時間がかかります。推奨されるのは、OV証明書です。CAが発行前に最も厳しい認証プロセスを適用しているのは、拡張認証(Extended Validation: EV)SSLサーバー証明書です。そのため、EV証明書は、金融機関やeコマースサイトで一般的に多く使用されています。   各種ブラウザで、EV、OV、DV証明書を区別する方法は標準化されていません。Firefoxでは、EV証明書を所有するウェブサイトの場合、アドレスバーに会社名が表示され、OVやDV証明書の場合には、セキュアなウェブサイトの名前がリストに記載されます。 ところが、ChromeではEV、OV、DVの違いを区別しておらず、「Secure」と示しているだけです。   HTTPSは、サイトが安全だという意味ではない サイバー犯罪者は、インターネットユーザーにサイトが安全であると信じさせるためのトリックを考え出しました。   最近まで、多くのサイバー犯罪者は、コストの点から自身のサイトにSSLサーバー証明書を登録していませんでした。またCAもSSLサーバー証明書を発行する前に組織の審査を行っていました。ところが最近になって、この取り組みを主導していたLet’s Encryptなどの組織とComodoが、短期(90日間)限定のSSLサーバー証明書付きドメインの発行にかかる手数料を廃止したことで情勢が変わり、SSLサーバー証明書を使用するためのプロセスが大幅に簡略化されました。   それにより証明書を購入できない多くのウェブサイトや、証明書を管理する技術的知識のないウェブサイトのトラフィックを安全なものへと変えることができます。ところが、不運にも、正規のユーザーを保護するために暗号化されるウェブサイトが増える一方で、サイバー犯罪者にこの取り組みを悪用されるケースもまた、大幅に増加しました。   SSLサーバー証明書を無料で簡単に登録できるようになったことで、サイバー犯罪者に、一般ユーザーの「https/南京錠/『Secure』表示=安全なサイト」という認識を悪用した攻撃手段を与えてしまうことになりました。SSLサーバー証明書がセキュリティに関して間違った印象を与え、さらに多くのユーザーがフィッシングサイトの被害にあっています。   MarkMonitorは、SSLサーバー証明書を使用しているフィッシングサイトの数を追跡しています。以下のグラフは、2018年1月から2019年2月の期間に確認された、SSLサーバー証明書を使用しているフィッシングサイト割合を示したものです。10月に証明書を使用しているフィッシングサイト数が急増し、ピーク値を記録しましたが、2019年2月現在もほぼ横ばいになっています。   ウェブブラウザはこの問題を防止できない ウェブブラウザは長期に渡り、httpsの安全性を信用するようにユーザーを促してきました。ところが、一般的に、SSLサーバー証明書は通信チャネルの暗号化は証明しているものの、そのウェブサイトの信頼性を認定してはおらず、ウェブアプリケーションのセキュリティを示すものでもありません。   ウェブブラウザは、安全なオンライン体験の確立を重視しているため、消費者の保護を強化する責任の一端を担っています。Google ChromeやMozilla Firefoxは、クレジットカードやパスワードの入力欄が含まれるウェブサイトページが暗号化されていない場合、必ずアドレスバーに「Not Secure」と表示するようにしました(HTTPSではなく、HTTPを使用しているサイトは、SSLを使用していないことを意味します)。また、Chrome 62では、データ入力欄が含まれるすべてのページで、同じ対応を行っています。 […]