まあ、続編である。
どうしてこれがやばいの?と思う人がいるので、権威ある人の書いたページを紹介しておこう。→ ここ
※ アカウントIDとPasswrodを入力するページなのに、アドレス表示をしていないんだ。
※ 電話連絡とって尋ねると「絶対安全です。」というのだが、本物も詐欺師も「安全です。」というであろう。
正直者と必ずうそを言う者とに、「あなたは正直者ですか?」と質問すると、二人とも「そうです。」と答えるだろう?
当たり前の話だが、honmonobank.co.jpの偽サイトであるnisebank.co.jpでhttpsサーバを立てようとするときに、
-
honmonobank.co.jpというドメイン名ではオレオレサーバにしかならず、ブラウザの警告が出るが、
-
nisebank.co.jpというドメイン名では、商用認証局が発行した正規の証明書を持つことができる。
アドレスバーを表示していると、悪意を持った者が本物と同じデザインの偽サイトを立てても、アドレスバーに表示してあるドメイン名で区別がつく。
だから、honmonobank.co.jpがアドレスバーを表示しないことは偽サイトの運営者には都合がよい。nisebank.co.jpというドメイン名を利用者から隠すことが可能だ。honmonobank.co.jpとは見かけ上見分けのつかないコピーページを持つ偽サイトを作った場合、https通信でもブラウザは警告を出さない。利用者はhonmonobank.co.jpのつもりで、
を入力するだろう。
Pちょこむってしってるか?
NTTコミュニケーションズがやっている、電子マネー・ポイント制度なのだが、これのポップアップログイン画面に、
んだな。タイトルバーにはアドレスらしき文字列があるが、こんなの、htmlファイルの<title>タグに記述すれば、よそのサイトのアドレスでも表示できる。
更に、このサイトが問題なのは、Pちょこむのサイトのドメイン名は、
なのだが、ログイン画面のドメイン名は、
である。確認は取れていないが、多分、
pchocom.netも
NTTコミュニケーションズが取得しているドメイン名だろう。
※ この確認のために全ユーザにwhoisを使って確認せよというのが
NTTコミュニケーションズの考えなのだろうか?まさかね。
しかし、メインサイトと異なるドメイン名のページでログインするとか言うのは、正に、フィッシングテクニックだよね。
でメールを書いた。返事が来た。こんな内容。
お世話になっております。
ちょコム・サポートセンタです。
この度は貴重なご意見ありがとうございました。
Pちょコム操作画面におけるアドレス非表示に関しては、
サービス開始した当初より、
誤操作防止等の観点から、
実施させていただいておりますが、
昨今のセキュリティ対策状況もふまえ、
対応を検討したいと思います。
今後ともよろしくお願いいたします。
今日に行ってもアドレスは見えない。たぶんずっと・・・。
多少進展があった:追記 2007 Apr 20
メインサイトとログインポップアップでドメイン名が異なることに疑問を持ちメールを書いたら返事が来た。
>■Pチョコムのドメイン名が
>pchocom.jp
>ですが、ログインするポップアップのドメイン名が
>pchocom.net
>です。
>ドメイン名が異なりますが、
>これがフィッシングでなくPチョコムの正規のサイトである、
>という確認はどのような方法でできますか?
>
>■また(以前も質問したのですが)ログインポップアップ画面の
>ブラウザのアドレスバーが隠されていますが、表示しないのはなぜでしょうか?
>
>偽サイトがpchocom.netのドメイン名を持つ証明書を
>商用証明機関から得ることは無く、pchocom.netを名乗る場合は、
>プライベート証明書に頼るしかなく、その場合ブラウザが警告を出しますから、
>多少【安心】です。
>
>しかし、偽サイトが任意のドメイン名で証明機関から正規の証明書の発行を
>受けた場合、ブラウザは警告を出しません。
>当然、その偽サイトはpchocom.netではないのですが、
>本物もアドレスバーを隠していますから、利用者はアドレスを確認せず、
>見かけ上本物と区別のつかないデザインの偽ページに
>アクセスしてしまうかもしれません。
ログイン画面のサイト証明書の情報をご確認いただくことで、
Pちょコムサービスを提供しておりますNTTコミュニケーションズが
管理している正規サイトである旨ご判断ください。
なお、ログイン画面におけるURL表示につきましては、
対応をすすめておりますのでいましばらくお待ち下さい。
どうやらデザイン会社には修正を依頼しているらしい。
そして、以前、
※ この確認のために全ユーザにwhoisを使って確認せよというのがNTTコミュニケーションズの考えなのだろうか?まさかね。
と考えたことは現実になった。whoisではないけれど、ページの信憑性に疑問を持ったら
証明書を確認せよ!、そしてそれを信じるかどうかは利用者自身で判断してくれ!、ということである。
インターネットという仕組みを考慮するとこの方法は間違いではない。はっきり言ってとても正しいやり方である。しかし、何人の人たちがこのドメイン名が異なることに気づき、フィッシングを恐れて証明書の中身を確認するんだろうね?。
botかなにかで書き換えられたhostsファイルを持つマシンが、httpでpchocom.netの偽サイトをアクセスし、そこからまた別な任意の正規証明書を持つhttpsの偽サイトへリダイレクトすることは可能だ。そんな場合に、いったい何人の利用者が証明書を確認するんだろうね?。
少し改善? May 27 2007:追記
PチョコムでポイントをもらいながらAmazonでDVD購入しようとサイトを訪れると、ログインポップアップにURL出ていましたねぇ。
更に、サイバートラストのイラスト入りの検証確認リンクまでつけてくれた。
※ これがJavaScriptのリンクでポップアップするところが駄目だな。まなぜ通常リンクにしないのかな?
※ ということでせっかくの検証確認リンクも、
-
ブラウザで証明書を表示して、
-
その内容と照らし合わせて
あぁ、確かに同じだね、という程度のものでしかない。だってブラウザで証明書を表示すればそれで済むことだから。
そして、そのドメイン名がリンク元ページと異なっていることは改善されていない。商用証明機関で有料で証明書を作ってしまったから、もったいないというレベルの考えなのだろうが、まともに改善するならば、リンク元ページと同じpchocom.jpで証明書を作り、ログインポップアップもリンク元ページと同じpchocom.jpにすべきだろう。
NTTコミュニケーションズ、まだまだだな。
※ 別な「まだまだだな」というエピソードはまたいずれ・・・。
初出 Apr 14 2007
最終更新日 May 27 2007
