<前の日記(2006年08月04日) 次の日記(2006年08月06日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1283   昨日: 3744

2006年08月05日

ウゲ、イーバンク銀行の誤ったセキュリティ解説

イーバンク銀行のセキュリティについてのページに、「よくわかるイーバンクナビ」というFlashコンテンツが置かれていた。

その中の「セキュリティについて」に「イーバンクのフィッシング対策」という項目があるのだが、その内容が間違っていて、その通りに覚えた人は危険だ。

へぇー、送信元のメールアドレスがいつも送られてくるアドレスと似てたら、うっかりしちゃいそうだね。
図1: イーバンク銀行の「よくわかるイーバンクナビ」の一シーンより引用

おいおい、「メールアドレスが似てたら」って……、似てるとかいう問題じゃないじゃろが。同じだったらいいっていうの?

イーバンクではフィッシング詐欺対策として、URLの最初が必ず https://fes.ebank.co.jp であることを確認できるようにアドレスバーを表示してくれるし、
図2: イーバンク銀行の「よくわかるイーバンクナビ」の一シーンより引用

それじゃ駄目じゃろが。「/」まで確認しないとだめじゃろが。実際、「フィッシング詐欺サイト情報」の7月28日のエントリに報告されているように、

● ebay.comの偽サイト 以下のように複数あります
ttp://signin.ebay.com.WMRgh.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.8TFfB.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.fr43S.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.e1aRQ.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.6dzPj.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.u9kwr.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.ePbr9.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac

フィッシング詐欺サイト情報, 2006年7月28日

「http://signin.ebay.com」で始まることを確認したってだめなわけで、「.com/」まで見ないといけない。

メールの送り主はちゃんと確認しないとね。
図3: イーバンク銀行の「よくわかるイーバンクナビ」の一シーンより引用

だからさー、どうやってメールの送り主を確認するわけ?

素人に作らせるとこうなる。というか、このアニメーションを作らせるのに使われたと思われる元の解説からして間違っている。

・URLの最初が、「https://fes.ebank.co.jp」であることをご確認ください。

フィッシング対策, イーバンク銀行

とにかく、イーバンクがメールで個人情報をきくことはないわ。だから、そういうメールがきた時点で、まず疑うことね。
図4: イーバンク銀行の「よくわかるイーバンクナビ」の一シーンより引用

「イーバンクがメールで個人情報をきくことはない」ですって? どうしてそういう事実に反することを平気で言うのかね。

送信されてきた通知メールの本文中に記載されているURLをクリックすると、受取方法選択の画面が立ち上がるの。「○○○○様からの送金の受取手続きは下記のURLを押してください」http://www……………/
図5: イーバンク銀行の「よくわかるイーバンクナビ」の一シーンより引用

自分でそう言ってるわけで。どうしてこうデタラメなんだ。しかも、画面のURLがニセくさいURLになってるし。

三菱東京UFJ銀行の要領を得ないセキュリティ解説

東京三菱UFJ銀行の「「三菱東京UFJダイレクト(旧東京三菱)」ご利用時に真正なサーバーであることを確認する方法について」の出来も悪い。

なぜか「/」の前に空白を入れているという雑ぶりはともかくとして、どうでもいいパス名部分まで覚えさせるつもりなのか。「mufg.jp」だけが要点だってことをなぜ言わないのか。

別のページの「金融犯罪にご注意ください」でもこうだ。

【三菱東京UFJ銀行のSSL(暗号化通信)証明書】
・三菱東京UFJ銀行のドメイン名は「bk.mufg.jp」です。証明書の「発行先」は「www.bk.mufg.jp」「www02.bk.mufg.jp」「direct.bk.mufg.jp」のように、「bk.mufg.jp」で終わっています

なぜ「bk.」まで入れるのか? なんだか、基本的なことがわかってないらしい*1

「簡単!やさしいセキュリティ教室」にS/MIMEの解説

簡単!やさしいセキュリティ教室」に、「電子メールが本物であることを確認するしくみ」というコラムが追加されていた。

よくできている。

*1 mufg.co.jp ではなく、mufg.jp などという信頼性の低いドメイン名を使っているのも不用意だ。mufg.co.jp が既に第三者に取られていたからなのだろうが、ならばなおさら危ないわけで。新会社の名前を決めるときにドメイン名を取れるかを考慮に入れなかったのか。

本日のTrackBacks(全7件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20060805]
検索

<前の日記(2006年08月04日) 次の日記(2006年08月06日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2006年08月04日) 次の日記(2006年08月06日)> 最新 編集