相変わらず勧誘や請求を装うスパムメールは後を絶たないが、個人情報を入力させる「フィッシング詐欺」と呼ばれる新しい手口が現れている模様。
ITmedia Newsの記事「Opinion:フィッシング詐欺に釣られてはいけない」によると、
おかしなことに、そのメールに載っていたeBayへのリンクをクリックしてみると、お馴染みのeBayのグラフィックと配色を使ったサイトが開かれた。一瞬信じてしまったが、すぐにURLがeBayのドメインとはまったく関係ないものであることに気付いた。さらに、そのサイトで入力を求められた情報――社会保障番号、母親の旧姓、運転免許書番号――は、分別のある人間が、何の疑問も持たずにオンラインで明かすようなものではなかった。私はこのとき、自分が「フィッシング(phishing)」の餌食になったことに気付いた。
という手口だそうだ。これはこれで
クレジットカード番号などが
不正に搾取されてしまう可能性があって
充分に危険なのだが、もし
インターネットバンキングを装ったものが現れれば
更に深刻な事態になり得る。
 |
| 9/27 阿蘇町にて |
その最大の原因は多くのインターネットバンキングがブラウザのアドレスバーを非表示にして、意図的にドメイン名を隠している事にある。その理由は憶測の域を出ないので定かではないが、現実に銀行本体ではなく委託しているベンダーのサイトに誘導しているケースも少なくない。
つまりabc銀行の公式Webサイト www.abcginko.co.jp にアクセスしているつもりが実はどうみても無関係な www.xyz.co.jp だったという事もあり得る。もちろん www.xyz.co.jp がabc銀行によって正規に委託されたWebサイトであれば問題無いが、逆に口座番号やパスワードの採取を狙った邪悪なWebサイトであった場合の被害は甚大だ。
裏にそういうリスクが隠れているにも関わらず、銀行はインターネットバンキング業務を外部に委託している事や、意図的にドメイン名を隠している事が最も重要な問題だ。
そういう面からもゾーン毎のセキュリティ設定で"信頼済みサイト"を登録するようにして、意図しないサイトに誘導された時には確認できるように自己防衛すべきだと考える。例えSSL暗号化であっても通信相手が www.xyz.co.jp である事が保証されるだけであって、www.abcginko.co.jp の正当な委託先であるという保証にはならない。
極端な話をすると、店舗外に偽装ATM機を置いて口座番号や暗証番号を採取しようとするのと同じ事だ。現実にはコストや効果などを考えるとあり得ないだろうが、ネットの世界では話は違って全く同じ画面を作る事は言うまでもなく、abc-bank.com というドメインを取得するのも実に簡単な事で、費用対効果は非常に高い(つまり悪用され易い)と言える。
ここで一番難しいのが邪悪なWebサイトへの誘導だが、それなりに難しいし見つかり易いwww.abcginko.co.jpの改竄などの苦労をしなくても、メールによる誘導という手段が有効だ。何と言ってもメールは送信元も含めて完璧かつ簡単に偽造できるし、インターネットバンキングユーザーへのメールによる誘導が日常茶飯事である事から、ユーザーの警戒心も緩みがちだと言える。
ちなみに自分のメインバンクもこの問題を抱えている事に気付き、7月末に窓口宛に指摘したところ「エンドユーザーが正規に委託されたWebサイトを確認する手段を提供するなど、改善する方向で検討する」という回答だった。個人的には改善されるまでインターネットバンキングは使わないようにしているが、銀行のホームページにはこういうリスクをはらんでいる事を含めてまだ何のアナウンスも無い。
余談:この時に「改竄などの攻撃を予防する意味でURLを非表示にしていた」という回答があったのだがこれが本当だとしたら「そんなに自信無いというのはなんか問題あるのでは?」と疑りたくなる。アドレスバーを隠したところで攻撃する技術を持っている人間ならば解析方法くらいいくらでも知っているハズだ。それ以前にクリックした時にしっかりステータスバーへ表示されるのだからまさに「頭隠して尻隠さず」。もしこの事に気付いていないのだとしたらちょっとずさんだと言え、ベンダーを含めてシステムとしての詰めの甘さを感じる。
という事実を踏まえると少々改善されたところでインターネットバンキングは暫く使わない方が良いかもしれない。
【参照】
●ITmedia News
-Opinion:フィッシング詐欺に釣られてはいけない 2003年10月8日
●高木浩光@茨城県つくば市 の日記
-ドメイン名とサーバ証明書こそが信頼の基点だということをまだわかってないらしい 2003年7月19日
