偽サイトにベリサインのセキュアシールを貼り付けるケースが増えている。単に画像が貼り付けられているだけのものもあれば、シールをクリックすると、本物の検証ページが表示されるものもある。セキュリティ意識の低いユーザをだますにはこれで十分だ。

こうしたシールは、ベリサインだけでなく、証明書を発行しているほとんどの会社から提供されているようだ。例えば、ジオトラストのスマートシールやセコムトラストネットのセコムWebステッカー、日本コモドのTrustSealなどがある。ベリサイン以外のシールがフィッシングに使われているのは見たことがない。シェアの違いなのだろうか。だからといって他のシールが安全というわけではない。ベリサイン以外のものを悪用したフィッシングサイトが出現してもおかしくはない。シールの目的をきちんと理解し、だまされないようにしたい。
シールをクリックすると検証ページが表示されるが、利用者は何を確認することができるのだろう。ベリサインのWebサイトには次のように書かれている。

エンドユーザはシールが掲載されているサイトが実際に存在しており、SSLにより暗号化されていることを検証することが可能です。お客様のサイトにシールを掲載することで、セキュリティに対する取り組みをアピールし、エンドユーザに安心感を提供します。 シールをクリックすると検証ページにサイト運営主体（お客様）の詳細情報が表示され、お客様のサイトへの信頼を高める一助となります。

しかし、コモンネームが存在することを確認できるだけで、シールが掲載されているサイトが実際に存在していることを証明するものではない。また、SSLにより暗号化されていることを検証することもできない。シールはどのサイトでも掲載できるし、httpsではないページに掲載することもできる。httpのページの場合、通信途中で改ざんされている可能性があるし、ファーミングによって偽サイトにアクセスしているかも知れないので、シール自体が信用できない。

シールを掲載するページはサイトによって様々である。トップページにあったり、個人情報を入力させるページにあったりする。シールを提供している会社としては、なるべく目立つところにシールを掲載してもらった方が良い。マーケティング効果が期待できるからだ。実際、ベリサインのセキュアシール掲載の手引きには”セキュリティや個人情報に関する説明ページ、トップページに掲載することも効果的である”と書かれているし、日本コモドのTrustSeal掲載方法には、”サイトの信頼性をアピールするためには実際に暗号化を行なっているページだけでは無く、TOPページに掲載する事により、より強い信頼性に対するアピールが可能となる”とある。このマーケティング効果が功を奏して（？）、フィッシングサイトにも利用されるようになった。

シールは鍵マークよりも利用者の視覚に訴え、安心感を与えることができるのかも知れないが、それが逆に、シールを見ただけで信用してしまったり、検証ページが表示されるだけで安全なサイトだと勘違いしてしまうといった危険性をもたらしている。

多くのサイトがhttpsではないトップページにシールを貼り付けている。例えば、イオンのオンラインショッピングサイトでは、トップページにはシールを掲載しているがログインページにはない。フィッシング対策として電子証明書つきのメールをいち早く導入した武富士もトップページにシールを掲載している。

ベリサインのシールだけではない。山梨中央銀行や保険もセコム。｜セコム損保の公式サイトではセコムWebステッカーをトップページに掲載している。

利用者がシールの意味や確認方法をきちんと理解するが重要だが、サイト運営者も安易にシールをべたべたと貼り付けるべきではない。