偽の三井住友銀行。httpsを使っている pic.twitter.com/SQvbtUzto7
— Haruhiko Okumura (@h_okumura) October 25, 2019
証明書もちゃんとしているっぽい pic.twitter.com/Etcz5MeYg7
— Haruhiko Okumura (@h_okumura) October 26, 2019
証明書の中身を表示させたところ。どっちが本物かわかるかな。 pic.twitter.com/W5GIxHME6h
— Haruhiko Okumura (@h_okumura) October 26, 2019
対策は簡単で,メールのリンク先のサイトにパスワード等を入れなければよい。「httpsであることを確認してパスワードを入れよう」などと書いてあるものがあったら通報してください
— Haruhiko Okumura (@h_okumura) October 26, 2019
「EV証明書」も本質的な対策にならないので,ChromeやFirefoxは特別扱いの表示をやめちゃいました。Safariはまだ緑で表示してますが
— Haruhiko Okumura (@h_okumura) October 26, 2019
銀行系のサイトではSSL化されていないとヤバい、URLでhttpのままだったらフェイクだねという話は定説化されている。どの道、URLをちゃんと確認すればいいまでの話だけど。要はSSL化する手間やコストを考えると、フェイクのサイトがそういうものを使って短期決戦で詐称をしても、割に合わないからってのがあった......はずなのだけど。
実のところここしばらくの間、この類の話がちらほら出てくるようになった。SSL化されてるけどフェイクじゃん、というもの。「フェイクは駄目だからSSL化しろ」というあちこちの界隈のお話の前提が吹き飛んでいるのが現状ということになる。どういうことだ。
SSL化の際にドメイン認証はタダで出来るところも多いけど認証レベルは低い、OV(企業認証)は数万ぐらいかかるし法人だけなんだけどそれなりに認証レベルは高い、EV(企業認証で物理的な存在確認やら当人確認までさせられる)は数十万ぐらいかかることもあるし法人のみだけど認証レベルは高い。で、その最高認証レベルが高い、つまり超安全をアピールできるところであっても、今回のようなスットコ詐欺サイトが存在していることになったので、意味ないじゃんって話になる。
まぁ、画面をよく見れば分かるのだけど、証明書の中身が本家の銀行とはまったく別物ってことなんだけどね。そこまで見る人は滅多にいない。SSLでEVなので大丈夫だろうと思ってしまう。そもそもこれの認証を通したこと自体が問題な気がするのだけど「手続きをちゃんと通したから素性が何であっても知ったこっちゃない、ビジネスだから」ってことなんだろうな。SSLで安心云々とドヤっていた側はどのような説明をするのだろう。
これ、例えるなら、偽物の警官に騙されないようにするために、警察手帳を見せてもらうようにするってことにしたら、手帖を作っている会社が同じ材質、フォントで警察手帳っぽいものを詐欺師に頼まれて作ったというお話。「うちは手帖を作るのがビジネスだから知ったこっちゃない。よく見れば本物と違うし」って感じ。
あらら,今度は偽のLINEだ。こっちもhttps pic.twitter.com/Z6WXX8S5Fy
— Haruhiko Okumura (@h_okumura) October 26, 2019
偽のLINEの話も来ている。ということはじきに偽のAppleとか偽のAmazonなども登場することだろう。
対策としては指摘の通り、パスワードを求められたらアウトってことで(本当に必要な場合に困るけど)。あるいは本物のウェブサイトにアクセスして、そこからリンクをたどって案内のページに行く。ちゃんとサイト側にもそのプロセスが用意してあれば、だけどね。
しかしこんな話が出てくると、SSL化していないからお前のところは駄目だとか言われていたのが、更に理不尽さを増してくるのだけど。
執筆:
コメントする