「https化しているのは安心安全だから」というのはもう通用しない

| コメント(0)

銀行系のサイトではSSL化されていないとヤバい、URLでhttpのままだったらフェイクだねという話は定説化されている。どの道、URLをちゃんと確認すればいいまでの話だけど。要はSSL化する手間やコストを考えると、フェイクのサイトがそういうものを使って短期決戦で詐称をしても、割に合わないからってのがあった......はずなのだけど。

実のところここしばらくの間、この類の話がちらほら出てくるようになった。SSL化されてるけどフェイクじゃん、というもの。「フェイクは駄目だからSSL化しろ」というあちこちの界隈のお話の前提が吹き飛んでいるのが現状ということになる。どういうことだ。

SSL化の際にドメイン認証はタダで出来るところも多いけど認証レベルは低い、OV(企業認証)は数万ぐらいかかるし法人だけなんだけどそれなりに認証レベルは高い、EV(企業認証で物理的な存在確認やら当人確認までさせられる)は数十万ぐらいかかることもあるし法人のみだけど認証レベルは高い。で、その最高認証レベルが高い、つまり超安全をアピールできるところであっても、今回のようなスットコ詐欺サイトが存在していることになったので、意味ないじゃんって話になる。

まぁ、画面をよく見れば分かるのだけど、証明書の中身が本家の銀行とはまったく別物ってことなんだけどね。そこまで見る人は滅多にいない。SSLでEVなので大丈夫だろうと思ってしまう。そもそもこれの認証を通したこと自体が問題な気がするのだけど「手続きをちゃんと通したから素性が何であっても知ったこっちゃない、ビジネスだから」ってことなんだろうな。SSLで安心云々とドヤっていた側はどのような説明をするのだろう。

これ、例えるなら、偽物の警官に騙されないようにするために、警察手帳を見せてもらうようにするってことにしたら、手帖を作っている会社が同じ材質、フォントで警察手帳っぽいものを詐欺師に頼まれて作ったというお話。「うちは手帖を作るのがビジネスだから知ったこっちゃない。よく見れば本物と違うし」って感じ。


偽のLINEの話も来ている。ということはじきに偽のAppleとか偽のAmazonなども登場することだろう。

対策としては指摘の通り、パスワードを求められたらアウトってことで(本当に必要な場合に困るけど)。あるいは本物のウェブサイトにアクセスして、そこからリンクをたどって案内のページに行く。ちゃんとサイト側にもそのプロセスが用意してあれば、だけどね。

しかしこんな話が出てくると、SSL化していないからお前のところは駄目だとか言われていたのが、更に理不尽さを増してくるのだけど。

関連記事             

コメントする

            
Powered by Movable Type 4.27-ja
Garbagenews.com

この記事について

このページは、不破雷蔵が2019年10月27日 07:19に書いた記事です。

ひとつ前の記事は「アマゾンで暗躍する中華系詐欺業者」です。

次の記事は「「子供」と「子ども」」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

* * * * * * * * * * * * * *


2019年12月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31