水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ニセシールへの対処法: シールは全て無視する

ニセシールへの対処法: シールは全て無視する

2011年9月8日(木曜日)

ニセシールへの対処法: シールは全て無視する

公開: 2011年9月10日20時5分頃

ついに出てきましたね、「偽のトラストシールを使った偽の製品販売 (www.symantec.com)」。

フィッシング詐欺者の手口は、これだけにとどまりません。フィッシングページには、ページの下部に、偽のトラストシールも表示されていました。正規のトラストシールは、該当する Web サイトが本物であることを保証するために、サードパーティ(通常はソフトウェアセキュリティ企業)によって Web ページに与えられるシールです。トラストシールをクリックすると、サードパーティによって提供されるウィンドウがポップアップ表示され、サイト名の詳細情報と該当サイトの保証に使用される暗号化データが表示されます。

この手のシールは簡単に偽装できるので、ニセシールを備えたサイトが現れるのは時間の問題だろうと思っていました。そして、実際にそういうサイトが現れたということのようで。

正規のトラストシールであることを確認するには、該当するシールをクリックして、ポップアップウィンドウの URL 全体を充分確認するのが最善の方法です。正規のトラストシールであれば、ポップアップウィンドウに、鍵マーク、「https」、緑色のアドレスバーなどが使われています。

ベリサインのセキュアドシールは役に立つのか」にも書きましたが、そういう確認ができるなら、元のフォームを直接確認することができるはずです。ニセシールへの対処としては、「シールが本物かどうかを確認する」という方法よりも、「シールは全て無視し、フォームそのものの安全性を別途確認する」という方が良いでしょう。

シールに頼らない確認方法については、産総研に「安全なWebサイト利用の鉄則 (www.rcis.aist.go.jp)」という良い解説があります。こういったものを普及させていきたいですね。

※「安全なWebサイト利用の鉄則」は2007年のコンテンツなので、内容が少し古くなっている面もあり、たとえばEV SSLについての記述はありません。それでも、現在に十分に通用する内容だと思います。

関連する話題: Web / セキュリティ / SSL/TLS / シール

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト