2011年9月8日(木曜日)
ニセシールへの対処法: シールは全て無視する
公開: 2011年9月10日20時5分頃
ついに出てきましたね、「偽のトラストシールを使った偽の製品販売 (www.symantec.com)」。
フィッシング詐欺者の手口は、これだけにとどまりません。フィッシングページには、ページの下部に、偽のトラストシールも表示されていました。正規のトラストシールは、該当する Web サイトが本物であることを保証するために、サードパーティ(通常はソフトウェアセキュリティ企業)によって Web ページに与えられるシールです。トラストシールをクリックすると、サードパーティによって提供されるウィンドウがポップアップ表示され、サイト名の詳細情報と該当サイトの保証に使用される暗号化データが表示されます。
この手のシールは簡単に偽装できるので、ニセシールを備えたサイトが現れるのは時間の問題だろうと思っていました。そして、実際にそういうサイトが現れたということのようで。
正規のトラストシールであることを確認するには、該当するシールをクリックして、ポップアップウィンドウの URL 全体を充分確認するのが最善の方法です。正規のトラストシールであれば、ポップアップウィンドウに、鍵マーク、「https」、緑色のアドレスバーなどが使われています。
「ベリサインのセキュアドシールは役に立つのか」にも書きましたが、そういう確認ができるなら、元のフォームを直接確認することができるはずです。ニセシールへの対処としては、「シールが本物かどうかを確認する」という方法よりも、「シールは全て無視し、フォームそのものの安全性を別途確認する」という方が良いでしょう。
シールに頼らない確認方法については、産総研に「安全なWebサイト利用の鉄則 (www.rcis.aist.go.jp)」という良い解説があります。こういったものを普及させていきたいですね。
※「安全なWebサイト利用の鉄則」は2007年のコンテンツなので、内容が少し古くなっている面もあり、たとえばEV SSLについての記述はありません。それでも、現在に十分に通用する内容だと思います。
- 「ニセシールへの対処法: シールは全て無視する」にコメントを書く
- 前(古い): 2011年9月7日(Wednesday)のえび日記
- 次(新しい): 2011年9月9日(Friday)のえび日記
