■ ドメイン名とサーバ証明書こそが信頼の基点だということをまだわかってないらしい
6月2日の日記に「日本は平和なのか、それとも単に遅れているだけなのか」というのを書いたが、昨日、ソニースタイルからこんなメールが来た。
Received: from jp.sonystyle.com (sscjmlout0.jp.sonystyle.com [211.125.129.235])
by mail1.accsnet.ne.jp (8.9.3/3.7W-ns)
with SMTP id SAA12508 for ;
Fri, 18 Jul 2003 18:45:13 +0900 (JST)
Received: (qmail 24563 invoked by uid 101); 18 Jul 2003 18:45:12 +0900
From: info@jp.sonystyle.com
To: takagi@mail1.accsnet.ne.jp
Subject: 【重要】「Sony Style」を詐称した悪質なメールおよびウェブサイトに対する注意のお願い
Message-ID: <20030718094512.24561.qmail@jp.sonystyle.com>
Date: 18 Jul 2003 18:45:12 +0900
----------------------------------------------------------------------
「Sony Style」を詐称した悪質なメールおよびウェブサイトに対する
注意のお願い
----------------------------------------------------------------------
最近、海外のある国において、「Sony Style」を詐称した悪質な事件が発生
しております。日本国内でも同様の事件発生の可能性がございますので、充分
ご注意くださいますようお願い致します。
これは、
ソニースタイルのWebサイトにも掲載されている。
この注意喚起は、以下の事件報道をふまえてのものだろう。
- ソニー米国法人,顧客サービスを騙る詐欺メールについて警告, 日経IT Pro US NEWS FLASH, 2003年7月5日
ソニーの米国法人Sony Electronicsは,Sony社が発信元であるかのように見せかけた詐欺メールが出回っていることを米国時間7月3日,警告した。「Sonystyle user and email address」という件名のこの詐欺メールは,SonyStyle Customer Serviceからのメッセージであると偽り,ユーザー名やパスワード,電子メール・アドレスなどの個人情報を求めるというもの。
この記事は、以下の点が気になる。
Sony Electronics社e-Solutions事業プレジデントのMike Fasulo氏は,...
また,「Sony Electronics社のすべてのWebサイトでは,確固たるセキュリティ対策を講じている。Sonystyle.comや同サイトのデータのセキュリティが侵された形跡はない」と付け加えた。
詐欺メールが出回ったという話なのに、「確固たるセキュリティ対策を講じている」は関係ないだろうに。ユーザ名とパスワードを盗まれたかもしれないのに、「セキュリティが侵された形跡はない」というのは、どうして言えるだろうか?
その点、日本のソニースタイルからの連絡には、そういう珍妙なことは書かれていなくて、さすがだと思った。国外での事件なのに国内にも注意喚起するというのは、よいことだ。
だが、これはどうなのか。
個人情報やIDおよびパスワードの入力・提示にあたっては、今まで以上に慎重を期してください。弊社が運営するウェブサイト「ソニースタイル」および「ソニードライブ」では、お客様への重要なご案内などを行う場合、ウェブサイトのトップページにてその旨告知をしております。電子メールに「ソニースタイル」の名が付いていても、個人情報を特定の電子メールアドレスやウェブサイトに提供するよう誘導されている場合には、いったん保留とし、電子メールと当社のウェブサイト上の情報が一致しているかどうか必ずご確認ください。もしくは、お手数ではございますが、ソニースタイルカスタマーセンターまでご照会くださいますようお願い致します。
「Sony Style」を詐称した悪質なメールおよびウェブサイトに対する注意のお願い
「重要な案内をする場合はウェブサイトのトップページで告知している」というのは、どういう意味か? 偽サイトへ誘導されるのは、なにも、特殊な個人情報入力だけではなかろう。本物とそっくりに作られたログイン画面かもしれない。「ログインするときは、毎回トップページで告知を確認せよ」と? 意味がわからない。
おそらく、この告知は、今回の事件だけを念頭に置いて書かれているのだろう。今回の事件が、明らかにソニースタイル以外のサイトへ誘導するものだったのだろう。「ただ今、アクセス集中によりつながりにくくなっています。こちらの臨時サイトをお使いください」といったように。
しかし、そういうあからさまな詐欺以外に、ごく普通のソニースタイルのメールマガジンを装って、微妙に異なるドメインの偽サイトへ誘導するということが起こり得る。したがって、ソニースタイルとしては、ドメインが本物かどうかを確認することを、消費者に促すべきである。このことについて、今回の注意メールは、なにも書いていない。
書くべきは次のことだっただろう。
お客様がアクセスするウェブサイトが、本物のソニースタイルサイトであるかどうかを次の方法で確認してください。
- アクセス先のURLが、www.jp.sonystyle.com になっているか。
- パスワードを入力する画面で、ブラウザの「鍵マーク」をダブルクリックし、証明書の「サブジェクト」が「Sony Marketing (Japan) Inc.」になっているか。
せっかく毎年8万円あまりを支払って、信頼感の高い認証局からデジタルID証明書を購入しているのに、こういうところで活かさないとは、じつにもったいない話だ。6万円分くらいをドブに捨てている。この注意喚起メールを書くにあたって、セキュリティ担当者や、技術者は助言しなかったのだろうか。技術者の助言など聞く必要ないというのであれば、ずいぶんナメた話だ。
■ 偽サイトは容易に作られる
これで思い出したのだが、ずいぶん前からこんなサイトがあるのだ。
これを見て、どう思うだろうか? 偽物か? 本物か? 謎を解くには、2年前のこの記事の存在を知っておくほかないかもしれない。
偽サイトへのアクセスを本物サイトに中継するように構成すれば、こんな感じに見える偽サイトを作ることは容易だろう。
また、Yahoo! Styleでは新システム「Remote Merchant Integration (RMI)」を導入する。これは、Yahoo!Styleのフレームの中に協賛企業のページがそのまま表示されるという形だ。このシステムを利用することにより、Yahoo!ショッピングのシステムを利用しつつ自社のサイトの特徴を活かした出店が可能になる。
Yahoo! JAPANとソニースタイルが提携〜「Yahoo! Style」を開設〜, INTERNET Watch, 2001年7月19日
消費者の混乱に配慮を欠いた不用意なシステムに思える。これに慣れている消費者は、偽サイトを偽と見破ることができるだろうか。
ついでに言えば、http://r1.jp.rmi.yahoo.co.jp/rmi/http://www.jp.sonystyle.com/Guide/Customer/index.html で変更や閲覧をしたときや、注文を実行したときは、個人情報が、Yahoo! のコンピュータ上を流れる(SSLで暗号化されたデータはYahoo!のサーバ上で復号される)わけだが、これは、ソニースタイルのプライバシーポリシー上、問題ないのだろうか。
■ JALからも注意喚起メール 発信源は?
昨日は、日本航空からも注意喚起メールが来た。
Received: from mta2.primary.ddc.dartmail.net (mta2.primary.ddc.dartmail.net [146.82.220.42])
by mail1.accsnet.ne.jp (8.9.3/3.7W-ns)
with ESMTP id WAA25042 for ;
Fri, 18 Jul 2003 22:46:57 +0900 (JST)
Message-Id:
From: JALマイレージバンク
To: takagi@mail1.accsnet.ne.jp
Reply-To: JMB CYBER FLASH
Subject: 【ご注意】ジャルシステムカードを名乗る団体について
Date: Fri, 18 Jul 2003 22:46:55 +0900
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【ご注意】ジャルシステムカードを名乗る団体について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
発信源をReceived:フィールドで確認すると、謎のドメインだ。
Reply-To:が「jal.co.jp」でなしに「jal.com」になっている。jal.co.jp以外にjal.comも日本航空のドメインだということを客は知っておけということか。難儀な話だ。