2006年02月10日
■ 「ファーミング」さえ理解していないフィッシング対策協議会
昨日の話もひどかったが、よく見てみれば、他にも杜撰なところだらけだ。
全く気付かなかったが、フィッシング対策協議会は、今年の1月に初のレポートを発表していた。この内容がひどい。2006年1月12日に公表された「2005/11 国内フィッシング情報届出状況」と題された文書*1には次の記述がある。
1.5. フィッシングサイトの動向
11 月度に報告のあったフィッシングサイト2 件に関してはURL の偽装や紛らわしいURL の使用などは認められませんでしたが、今月発見されたYahoo!オークションのフィッシングサイトに関してはメールと共に、ブログやSNS にIP アドレスのリンクが記載されており、ファーミングの手法も取り入れられていることが確認されました。
(略)
1.8. 総括
11 月度は7 月度以来の日本企業のフィッシングサイトが確認されました。このフィッシングサイトは米国にホスティングされておりました。フィッシングメール自体は確認されておりませんが、インターネット上のブログや掲示板の書き込みにこのサイトにリンクを張ったIP アドレスの表記が多数確認されました。また、フィッシングサイトに使用されていたHTML ファイルの日付を確認したところ2 月になっておりました。かなり長い時間このフィッシングサイトが仕掛けられていた可能性が伺えます。これはファーミングの手口のひとつであるとも言えます。
そんなのは「ファーミング」じゃない。出鱈目言うなよ。「ファーミング」とは、
ファーミングとは、ユーザが正しいURLを入力しても、自動的に偽のサイトに誘導して個人情報を詐取する行為です。
ファーミングの犯人は、ウィルスやワームを使って利用者のコンピュータの hosts ファイルを書き換えたり、DNS サーバに虚偽の情報を書き込んだりすることによって、利用者が URL を入力して正規のサイトにアクセスしようとする際に偽サイトに誘導しようとします。(略)
フィッシングとは, フィッシング対策協議会
だろうが。
■ オレオレ証明書で本物だと太鼓判を押すフィッシング対策協議会
フィッシング対策協議会の「フィッシングに対する注意」のページに、「フィッシンングサイトではないとの確認方法」という解説が載っているが、これがまた杜撰だ。
そもそも、説明用の画像が小さいうえ汚くて内容が読み取れない*2のだが、それでも目を凝らして見るとする。
フィッシンングサイトではないとの
確認方法:その3すると電子証明書の内容が確認できます。証明書中に銀行の名称が書かれていれば本物のインターネットバンキングの画面です。
フィッシングに対する注意, フィッシング対策協議会
というのだが、その説明図はこれだ。
なんじゃこりゃ。
「銀行の情報を確認」という丸があるが、左の丸の中に「銀行の情報」など書かれていない(URLはあるが)し、右の丸の中にも「銀行の情報」など書かれていない(ドメイン名はあるが)。「銀行の名称が書かれていれば」というが、それは、この画面ではなく、「詳細」タブの中ににあるはずのものだ。
そんなことさえわかってないド素人に、こんな大事なコンテンツを書かせているわけだ。
しかも、右の丸の部分をよく見てみると、
おいおい、証明書の発行者まで銀行になっているじゃないか*3。そんなオレオレ証明書で、
証明書中に銀行の名称が書かれていれば本物のインターネットバンキングの画面です。
フィッシングに対する注意, フィッシング対策協議会
と言うのか。
訂正 (2月11日)
「フィッシング詐欺対策協議会」と書いていた部分を「フィッシング対策協議会」に訂正した。協議会の名前は「フィッシング対策協議会」が正しいところ、9日の日記で参照した、Scanの記事の冒頭が、
フィッシング詐欺対策協議会は1月26日、
VISAのシステムがハッキング被害、フィッシングに注意, Scan Daily Express, 2006年1月27日
となっていたため、それにつられて間違えてしまった。