https://www.bravotouring.com/~yano/archives/2003/10/12/ Recent content in 2003/10/12 on Yano's digital garage Hugo en-us Sun, 12 Oct 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20031012.htm Sun, 12 Oct 2003 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20031012.htm <p>相変わらず勧誘や請求を装うスパムメールは後を絶たないが、個人情報を入力させる<span class="Topics">「フィッシング詐欺」</span>と呼ばれる新しい手口が現れている模様。</p> <p><a href="http://www.itmedia.co.jp/news/" target="SubWindow">ITmedia News</a>の記事<a href="http://www.itmedia.co.jp/enterprise/0310/03/epc08.html" target="SubWindow">「Opinion：フィッシング詐欺に釣られてはいけない」</a>によると、<blockquote>おかしなことに、そのメールに載っていたeBayへのリンクをクリックしてみると、お馴染みのeBayのグラフィックと配色を使ったサイトが開かれた。一瞬信じてしまったが、すぐにURLがeBayのドメインとはまったく関係ないものであることに気付いた。さらに、そのサイトで入力を求められた情報――社会保障番号、母親の旧姓、運転免許書番号――は、分別のある人間が、何の疑問も持たずにオンラインで明かすようなものではなかった。私はこのとき、自分が「フィッシング（phishing）」の餌食になったことに気付いた。</blockquote>という手口だそうだ。これはこれで<span class="Strong">クレジットカード番号</span>などが<span class="Worning">不正に搾取</span>されてしまう可能性があって<span class="Emergency">充分に危険</span>なのだが、もし<span class="Topics">インターネットバンキング</span>を装ったものが現れれば<span class="Serious">更に深刻な事態</span>になり得る。</p> <table align="right" class="Landscape"> <tr> <td><img alt="ススキと阿蘇" src="https://www.bravotouring.com/~yano/images/2003/031012.jpg"/></td> </tr> <tr> <td class="PhotoMemo">9/27 <span class="Point">阿蘇町</span>にて</td> </tr> </table> <p>その最大の原因は<span class="Strong">多く</span>の<span class="Topics">インターネットバンキング</span>がブラウザの<span class="Strong">アドレスバー</span>を非表示にして、意図的にドメイン名を隠している事にある。その理由は憶測の域を出ないので定かではないが、現実に銀行本体ではなく委託しているベンダーのサイトに誘導しているケースも少なくない。</p> <p>つまり<span class="Shop">abc銀行</span>の公式Webサイト <span class="Strong">www.abcginko.co.jp</span> にアクセスしているつもりが実はどうみても無関係な <span class="Worning">www.xyz.co.jp</span> だったという事もあり得る。もちろん <span class="Worning">www.xyz.co.jp</span> が<span class="Shop">abc銀行</span>によって<span class="Strong">正規に委託されたWebサイト</span>であれば問題無いが、逆に口座番号やパスワードの採取を狙った<span class="Worning">邪悪なWebサイト</span>であった場合の被害は甚大だ。</p> <p>裏にそういうリスクが隠れているにも関わらず、銀行は<span class="Strong">インターネットバンキング業務を外部に委託している</span>事や、意図的に<span class="Strong">ドメイン名を隠している</span>事が最も重要な問題だ。</p> <p>そういう面からもゾーン毎のセキュリティ設定で"信頼済みサイト"を登録するようにして、意図しないサイトに誘導された時には確認できるように<span class="Topics">自己防衛</span>すべきだと考える。例えSSL暗号化であっても通信相手が <span class="Worning">www.xyz.co.jp</span> である事が保証されるだけであって、<span class="Strong">www.abcginko.co.jp</span> の正当な委託先であるという保証にはならない。</p> <p>極端な話をすると、店舗外に偽装ATM機を置いて口座番号や暗証番号を採取しようとするのと同じ事だ。現実にはコストや効果などを考えるとあり得ないだろうが、ネットの世界では話は違って全く同じ画面を作る事は言うまでもなく、<span class="Strong">abc-bank.com</span> というドメインを取得するのも実に簡単な事で、費用対効果は非常に高い<span class="Worning">(つまり悪用され易い)</span>と言える。</p> <p>ここで一番難しいのが<span class="Worning">邪悪なWebサイト</span>への誘導だが、それなりに難しいし見つかり易い<span class="Strong">www.abcginko.co.jp</span>の改竄などの苦労をしなくても、<span class="Worning">メールによる誘導</span>という手段が有効だ。何と言ってもメールは送信元も含めて<span class="Emergency">完璧かつ簡単に偽造できる</span>し、インターネットバンキングユーザーへの<span class="Strong">メールによる誘導</span>が日常茶飯事である事から、ユーザーの警戒心も緩みがちだと言える。</p> <p>ちなみに自分のメインバンクもこの問題を抱えている事に気付き、7月末に窓口宛に指摘したところ<span class="Strong">「エンドユーザーが正規に委託されたWebサイトを確認する手段を提供するなど、改善する方向で検討する」</span>という回答だった。個人的には<span class="Strong">改善されるまで</span><span class="Topics">インターネットバンキング</span>は<span class="Emergency">使わない</span>ようにしているが、銀行のホームページには<span class="Worning">こういうリスクをはらんでいる事を含めて</span>まだ何のアナウンスも無い。</p> <p>余談：この時に「改竄などの攻撃を予防する意味でURLを非表示にしていた」という回答があったのだがこれが本当だとしたら「そんなに自信無いというのはなんか問題あるのでは？」と疑りたくなる。アドレスバーを隠したところで攻撃する技術を持っている人間ならば解析方法くらいいくらでも知っているハズだ。それ以前にクリックした時にしっかりステータスバーへ表示されるのだからまさに「頭隠して尻隠さず」。もしこの事に気付いていないのだとしたらちょっと<span class="Strong">ずさん</span>だと言え、ベンダーを含めてシステムとしての詰めの甘さを感じる。</p> <p>という事実を踏まえると<span class="Strong">少々改善されたところで</span><span class="Topics">インターネットバンキング</span>は<span class="Emergency">暫く使わない</span>方が良いかもしれない。</p> <p class="Reference">【参照】 <br/>●<a href="http://www.itmedia.co.jp/news/" target="SubWindow">ITmedia News</a> <br/>　-<a href="http://www.itmedia.co.jp/enterprise/0310/03/epc08.html" target="SubWindow">Opinion：フィッシング詐欺に釣られてはいけない</a> 2003年10月8日 <br/>●<a href="http://d.hatena.ne.jp/HiromitsuTakagi/" target="SubWindow">高木浩光＠茨城県つくば市 の日記</a> <br/>　-<a href="http://d.hatena.ne.jp/HiromitsuTakagi/20030719#p1" target="SubWindow">ドメイン名とサーバ証明書こそが信頼の基点だということをまだわかってないらしい</a> 2003年7月19日 </p>