phishingサイトの被害に遭わない対策
〜といっても気にしている人は少ないかもなぁ
産業技術総合研究所情報セキュリティ研究センターの安全なWebサイト利用の鉄則というページを見つけた。
一頃フィッシング詐欺が話題になって、そういう被害とその対応策がいろんなところに解説されていたりしたのだが、大抵は
「運営者の身元が分からない怪しいサイトに個人情報を入力しないように注意しましょう」
みたいな役に立たない解説が多かったような気がする。
しかし「運営者の身元」が怪しいと思わないから引っかかるんじゃないか、失敗した人に「失敗しないようにしましょう」なんていうアドバイスがなんに役に立つんだろうかと思わされることが実に多かった。
このサイトに書かれていることでも一番重要なところは
1)アドレスバーでURLをみてドメインが間違いなくその運営者のものか確認する
2)SSLを使っているページか確認し、南京錠アイコンをクリックしてSSL認証者が書かれた「サーバ証明書」が間違いなくその運営者のものか確認する
という2点だと思う。
ところが実際にはほとんどの人はそういうところはあまり気にしていないのに
「ネットでカード番号を打つと悪用されそうなので怖い」
というような過剰な反応をしている人は結構多い。
注意していれば便利に使えるものなのに、妙な自己規制でこの便利さを棄てているか、不注意で自分自身をリスクにさらしているかの両極端でやるべきことをやって安全に使いこなすというバランスが欠けている人を良く見かけるし、専門誌の解説記事でもそういう類いの内容が多いように思う。
ひところInternetExplorerはURLを偽装されるという重大な欠陥が有ったのだが、しかもそれが長期間マイクロソフトからは放置されており、ユーザをフィッシングの危険にさらしていた。
その後この欠陥が解消されたのかどうかよく知らないのだが、この放置された理由がWindowsアップデートなどのミラーに飛ばされているという不快感を感じなくてすむようにどこに接続してもシアトル本社に接続しているように見せるためだという噂を聞いて、噂の域を出ないのだけどもしこれが真実ならばそんなくだらない理由のためにユーザを危険にさらすというのが信じられないと思った。
この話はガセかもしれないけど、そういう理由でもないとこの欠陥を長期にわたって放置していた理由がわからないので、一概にガセとも言い切れない。
このリスクはWindows版InternetExplorerだけでなくMac版InternetExplorerでも共通の問題が有ったはずだから注意した方が良い。
私自身はもうかなり長いことInternetExplorerを起動していないので詳しいことは知らないのだが。
(このサイトの「よくある質問と答え」のページの「この鉄則が守られれば絶対安全か?」というFAQに対する答えとして「webブラウザに脆弱性が有る場合」、そうともいえないケースが挙げられている)
それはともかくフィッシングの対策はこのリンク先のサイトに書いてあるように実はそんなに難しいわけではない。
これらのことが実行されればフィッシングに引っかかる可能性は極めて低くなると思う。
みておいて損は無いと思う。
2007年3月27日
<後日追記>
この記事がちょっとわかりにくかったので、実際のブラウザでのSSLの見方をちょっと解説しておく。
URL自体は偽装はできない(というはなし)なので基本的にはよく知っているサイトに関してはURLを確認するだけでフィッシング詐欺は予防できる。
例えば当サイトは別に個人情報を入力させるようなページではないのであまり適切でないのを承知で当サイトを例にとると、このページは
http://www.geocities.jp/nmuta2004/home72.html
というURLにある。
geocities.jpが固有のドメインの表記だから
http://
というスキームの表示のあとの最初のスラッシュの前がgeocities.jpであるなら偽装サイトではない。
しかし
http://www.geocities.jp.gisou.co.jp/nmuta2004/home72.html
というように同じ文字列が入っていてもそれが最初のスラッシュの前ではない、あるいは
http://www.gisou.com/geocities.jp/nmuta2004/home72.html
最初のスラッシュ以外のところにある場合は、正当なドメインではないので注意しなくてはいけない。
というよりもこういう紛らわしいドメインの表記にはもう何らかの意図があると考えた方が良い。
あるいはSSLを使ったページに入ればこのサイトが信頼できるサイトかどうかは自動的にわかる。
SSL(セキュリティソケットレイヤー)は通常httpsというセキュリティを組み込んだプロトコルでやり取りされるのでURLのスキームも
https://www.geocities.jp/
というように表示される。
またそこに入ればブラウザのどこかに必ず南京錠のアイコンが表示される。
Safariであれば右上のコーナーだ。
SSLでセキュリティがかかったページに入るとSafariの場合は
右肩に南京錠のアイコンが表示される
これはこの通信は双方向に暗号化された通信でやり取りされているという意味だが、もうひとつ重要な意味があって、サーバ認証というPKI(認証インフラ)によって、表示されたURLドメインの所有者によって運営されているサーバであるということを保証されているということだ。
だからこの表示で特にアラートが出てこなくて、しかもこのサイトのURLは馴染みがあるという場合はこれでまずフィッシングなどの問題に当たることはない。
ところが以下のようなアラートがでることがある。
サーバ認証に失敗した場合はこのようなラートが出てくる
この場合はこのサイトの身元に間違いがないかよく確認する必要がある
というよりよく知っているサイト以外は確認のしようがないので
この場合には個人情報を入力しないことだ
この場合考えられることは、
1)ブラウザと認証局の通信にエラーが出て単純にエラー表示がでてしまった
2)サーバ管理者が認証の有効期限の延長などの手続きを忘れて身元不明サーバになってしまっている
3)何者かが偽のサイトを作って偽装している
この3つのケースだ。
対応策としてはよく知っている馴染みのサイトの場合はURLが偽装されていないか、確認して次のステップに進む、
1)のケースもあるので南京錠アイコンをクリックしてサーバ認証情報を確認するということになる。
ただしよく知らない、馴染みないサイトの場合はサーバ認証情報を見てもその信頼性を確認する方法がないので、サーバ認証情報を確認する意味はない。そういうところには近寄らないことだ。
またよく知っているサイトでも認証が期限切れになっているようなところは、サーバ管理者のセキュリティ意識に問題がある可能性もあるので、そういうところも慎重にお付き合いした方が良い。
南京錠アイコンをクリックするとサーバの管理者の認証情報と認証者の情報が見られる
この場合はサーバ認証は問題がないという表示になっているが
そこがお馴染みのところだったらこれで安全を確認できるが
紛らわしい商号を登録している可能性もあるのでURLから登記の住所から確認する方がよい
ましてや正確な商号や登記地、URLを空で言えない馴染みないところは確認できたことにならない
2007年4月11日
|
|
