水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 携帯電話のフィッシングサイト対策、その方法は?

携帯電話のフィッシングサイト対策、その方法は?

2010年3月15日(月曜日)

携帯電話のフィッシングサイト対策、その方法は?

公開: 2010年3月21日13時50分頃

だいぶ古い話ですが、一部で話題になったのでメモ……「フィッシング対策の現場から: インタビュー 第1回 今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏 (www.antiphishing.jp)」。

一般的に携帯電話は、画面が小さい、ページのデザインなどがPCよりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。

画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。

携帯サイトだと本物そっくりのページを作りやすい? いやいや、PCサイトでも本物そっくりのページを作ることは可能です。極端なことを言えば、リバースプロキシにして本物の内容を中継すれば全く同じにすることができます。

また、「マウスをリンクにロールオーバーさせてURLを確認」という方法ですが、これは現実的なのでしょうか? その確認をいつどうやって行うのでしょうか。全てのリンクについて、クリック前にステータスバーを見る……なんてことは非現実的です。では、特定のリンクだけ確認すれば良いのでしょうか。どんなときに確認するのでしょうか。

事前にいくら確認しても、リダイレクトされて異なるURLに飛ばされる場合もあります。その可能性がゼロでない以上、クリック前に事前確認する意味は薄いものと思います。

※昔はJavaScriptでステータスバーを改竄される可能性もありましたが、最近は難しくなってきていますね。

実際は単純に、「情報を入力する画面になったら、アドレスバーを見る」というだけで十分でしょう。

と、これはPCサイトの話。何故か携帯端末にはアドレスバーがない上、URLを確認するのもかなり面倒なので、どうしようもありません。「面倒でも頑張ってURLを確認する」もしくは「携帯サイトはいっさい信用しない」のいずれかになるのではないかと思います。スマートフォンが普及してくると、後者もけっこう現実的な選択肢になってきますね。

※「アドレスバーが実装されることを期待する」という選択肢はあるのでしょうか?

関連する話題: セキュリティ / モバイル

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト