アルファサード株式会社 代表取締役 野田 純生のブログ


フィッシングについてのおさらい。


公開日 : 2007-07-12 16:04:27


久しぶりに見慣れた日本の銀行のサイトをターゲットにしたフィッシングメールを受け取った。
まぁ英語だし日本のユーザーは騙されやしないだろうが一応おさらい。ユーザーとして、だけじゃなくサービスを企画する側の立場としても気をつけることもあわせて。

* とはいってもやはりメールやフォームから問い合わせが出来ないのは不便だ。せっかくの情報を通知するにも方法がない (電話して番号押して...ってどこまで必要か? やっぱりフォーム位必要だ)

新生銀行を偽ったフィッシングメール(クリックで拡大)

*拡大画像に番号を振っています。

  1. Fromは簡単に偽装できるので (S/MIME等の安全な方法の(且つメールソフトが警告を出さない)メールでない場合は) 信用しない。
  2. Replay-To:が別ドメインになっている。疑わしさ満点。
    サービスを企画・提供する時も同じことをしないようにね。
  3. リンク先は正しいドメインを指しているように見えるが実際のリンク先は別の場所になっている。そもそもHTMLメールなのでリンク先として表示されているアドレスはあてにできない。マウスポインタを持っていくとこんな感じで表示されるので間違ってもこんなアドレス踏まないように。
  4. 別に©2007になっていたら安心出来るわけではないが何で2001なんだろう...って実際のサイトもそうなっているんだね。

* ところで何で新生銀行のサイトのドメインは www.shinseibank.com なんだろう? 「co.jp」ドメインを使うこと、そして「しつこいくらいに」ドメインを周知することこそ重要なのに。

フィッシングサイトの画面(クリックで拡大)

  1. で実際にページを表示すると (良い子はページに行ったりしちゃ駄目) このような画面となり、アドレスバーを見ると別のサーバーへ誘導されていることがわかる。そもそもHTTPSじゃない時点でアウト。間違っても情報を入力したりしないこと。

ページはきちんとデザインされているがそんなことに騙されてはならない。本物をコピーペーストすれば「まんま」のページがすぐにできるのだから。

で、注意喚起等の情報がないかどうかサイトに行って確認する。7月12日13時の時点ではインフォメーションが無い(英語版サイトにもない)。11日時点でウェブ上では報告が上がっているから、このあたりの対応は迅速に行う必要があるかと (元々が掲載情報に多くのチェックが必要で時間のかかる業種こそ体制と事前の手順化がなされていないと素早い対応は無理だ)。

*今見ると注意喚起が掲載されている。しかもアドレスバーの無いポップアップウィンドウだ!

ところで「フィッシング詐欺」への注意喚起は今やどこのウェブサイトでも行っているが、注意喚起のページの中でアドレスバーなしのポップアップウィンドウを使っているところがあって"これはイタイ"。

フィッシングに関する注意喚起画面(アドレスバーが無い)(クリックで拡大)

インターネットバンキングだけじゃなく、ウェブサイト内で一貫して「安心出来るユーザー体験」を提供することを考えなければ啓発しても意味がなくなる。*

*口座開設でもあるなぁ。このパターン(アドレスバーなしポップアップ)。せっかくhttps〜なのに意味がない。

制作者は気をつけられたし。制作者がちゃんとしないとこんなわけのわからないことを書かれてこっちまで不快になるのでね。

この件に言及している他サイトのエントリー

タグ


このブログを書いている人
野田純生の写真
野田 純生 (のだ すみお)

大阪府出身。ウェブアクセシビリティエバンジェリスト。 アルファサード株式会社の創業者であり、現役のプログラマ。経営理念は「テクノロジーによって顧客とパートナーに寄り添い、ウェブを良くする」。 プロフィール詳細へ