<前の日記(2010年03月16日) 次の日記(2010年03月24日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 819   昨日: 2811

2010年03月20日

音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する

このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。

このいろいろな媒体で周知されているこのURLは、信用できるものと仮定しよう。しかし、当該サイトを見に行ってみると、図1のようになっている。

画面キャプチャ
図1: JASRACらのキャンペーンサイト
(この批評に必要不可欠な範囲で引用)

ここで、「アンケートへ応募する」をクリックするとどうなるか。図2の画面が出る。

画面キャプチャ
図2: 「アンケートへ応募する」をクリックした先の画面

景品を送付する先の個人情報を入力させる画面なのだが、ここはいったいどこなのか。入力しようとする前に、アドレスバーを確認してみると、図3のようになっている。

画面キャプチャ
図3: 個人情報入力画面のアドレスバー

「krs.bz」というワケのわからないドメイン名であり、怪しいサイト同然になっている。

このページを、Internet Explorer で閲覧してみたところ、図4のようになった。

画面キャプチャ
図4: Internet Explorerでアクセスした場合

EV SSLが使われておりアドレスバーが緑になるが、表示された会社名は「Tricorn Corporation」という聞いたこともない謎の会社名になっている。

昨年6月27日に書いた「EV SSLを緑色だというだけで信用してはいけない実例」と同様の共用SSL上のフォーム作成サイトではないかと疑われるので、「site:krs.bz」で検索してみると、大量の同様のフォームが置かれたサイトだとわかる。

こんな得体の確認できないところに入力してはいけない。

図2の画面には「個人情報保護方針」のリンクがあるので、そこを見に行ってみると、図5の画面が出る。

画面キャプチャ
図5: 「個人情報保護方針」のリンク先のページ

「社団法人日本レコード協会」云々と書かれているが、この場所がまたワケのわからないサイト「campaignbox.com」になっている。いったいこいつらはなんなんだ。

では、最初の画面に戻って利用規約を見てみよう。「アンケートへ応募する」のボタンにも「利用規約に同意して」と、ちゃんと規約を読めとされていたのだから、読まねばならないだろう。

画面キャプチャ
図6: このキャンペーンの利用規約が表示されている様子
(この批評に必要不可欠な範囲で引用)

「当社は当フォームで取得した個人情報を第三者に提供、委託いたしません。」と書かれているが、「当社」というのは誰なのか? 下を見ると音楽6団体の署名になっているし、個人情報保護方針も「音楽関係6団体*(幹事、社団法人日本レコード協会、以下「当協会」という)は、」と書かれている。

もし、音楽関係6団体が、このキャンペーンにあたって、個人情報の取り扱いを「Tricorn Corporation」に委託していて、Tricorn Corporationの入力フォームサイト「krs.bz」はちゃんとしたサイトであると説明*1しているなら、このやり方もまあ許されるところかもしれない。利用者はその説明を聞いて、情報の入力場所が、音楽関係6団体が言う「信頼できるサイト」と同一であることを確認して入力することになる。

しかし、音楽関係6団体は、利用規約で「個人情報を第三者に委託いたしません」と言っている。そういう場合、利用者は、アドレスバーがたとえ緑色であろうとも、「Tricorn Corporation」などと表示されたサイトに入力してはいけない。*2

じつは、最初に訪れたキャンペーンサイトを https:// でアクセスしていれば、いちおう、安全に使うことができる。信用できる媒体で入手したキャンペーンサイトのURLが https:// であり、リンクを辿って個人情報入力画面に到達するまでの間、常に https:// ページであったこと*3を利用者が確認したならば、そこは本物ページだということになる。

しかし、普通の利用者にそんなことはできない。「安全なWebサイト利用の鉄則 / よくある質問と答え」に示されている考え方の通り、入力画面で利用者が確認できるようにしておくべきである。

ところで、「エルマーク」とは何だろうか? 「エルマーク」で検索してみると、ケータイ向けの「エルマークについて - Respect Our Music」というサイトが出てくる。

このサイトの場所はどこなのか。図7のように、またもや得体の知れないドメイン名になっている。

画面キャプチャ
図7: 「エルマーク」のホームページ

http://www.rom-m.jp/ のトップページに移動してみると、「携帯専用サイトです」と出る。

画面キャプチャ
図8: http://www.rom-m.jp/ のトップページ

どうやら、「Respect Our Music」キャンペーンのトップページのようだ。社団法人日本レコード協会のページに、以下の説明があった。

画面キャプチャ
図9: 日本レコード協会の「ぜひ携帯で下記にアクセスしてみてください」という説明
(この批評に必要不可欠な範囲で引用)

「rom-m」って何だろうと思いつつ、ドメイン名「rom-m.jp」の所有者をwhoisで調べてみると、「株式会社見果てぬ夢」と出る。

音楽関係6団体はどういう感覚をしているのか。

けっきょく、これらはケータイ脳業者の感覚そのものなんだと思う。つまり、ドメイン名は存在しないも同然であり、どこだってかまわんという感覚だ。それもそのはず、ケータイの糞ブラウザには、昔から今までずっとアドレスバーが無く、むしろアドレスを隠す機能さえ付けていた*4ような業界だ。

聞くところによると、ケータイでは違法な音楽配信サイトが横行しているという。調べてみると、たしかに「無料」とうたう音楽配信サイトが大量に出てくるが、どれが信用できるのかできないのかわからない。

私は、携帯電話を買い替えたとき、着メロ等を購入する際には、公式メニューから辿って、良さげなものを探しに行くのだが、そのとき、どんな会社で買ったかということはほとんど覚えていない。聞いたこともない会社のサイトで購入しているわけだ。URLも確認していない。これは、公式メニューから辿っているからであるし、キャリアの課金システムで購入しているのだから、問題のあるサイトではないと信じることができる。

しかし、そういうやり方を続けてきたせいで、着メロ等の配信事業者は、いつまでたっても覚えてもらえないし、ドメイン名も覚えてもらえない。*5

そういう悪循環が繰り返される中、勝手サイトが成長し、人々は公式メニューよりも検索で訪れるという、ビジネスモデルの転換期が訪れた。その結果として、ケータイ利用者達は、怪しいサイトも正規のサイトも区別することなく、違法配信音楽をダウンロードしてしまう。これは必然ではないか。いったい誰に非難できることか?

音楽関係6団体が目指すべきは、正規サイトを会社名やドメイン名で覚えてもらうようにすることだろう。それなのに、音楽関係6団体自身が、自らドメイン名の信用性を損ねるキャンペーンを展開し続けている。

いつまで自分らの首を絞め続けるのか。自業自得とはこのことだ。

*1 誰でもフォームを設置できるサイトではなくて、トライコーン社の責任において信用できる会社(フィッシング行為をするはずがないと信用できる会社)にしか入力フォームの設置を許していないサイトであるとする説明。

*2 個人情報保護方針」のリンク先にも、「Tricorn Corporation」のことは書かれていない。

*3 もし、リンクの途中に http:// ページが挟まっており、そのページがすぐに https:// へリダイレクトするようになっていた場合、利用者は、途中に http:// のページがあったことに気付かないだろう。この場合、通信路上の改ざん攻撃により、偽の https:// ページへたどり着いてしまうことになる。このようなことが起きるのは、当該Webサイトが、http:// のページを挟んだことが原因であり、それはサイト運営者の責任であり、そのサイトの脆弱性と言える。

*4 2007年12月8日の日記「EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない」で、「vnd.up.markable」による「ブックマーク禁止」機能について触れている。

*5 せいぜいドワンゴが有名になったくらい?

本日のTrackBacks(全5件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20100320]

フィッシング詐欺ってやだよね、怖いよね。



でだ、この間アメーバモバイルで、違法ダウンロードのアンケートに答えると抽選でQUOカードが当たる、見たいのがあって覗いてみたのだけれど・・・。



アンケートページに進むと、いきなり個人情報の入力になった。

フィッシング詐欺を防ぐための方法のひとつは、https という通信方法を採ることですが、 これを使ったからといって、情報が漏洩しない、とか 、フィッシング詐欺にはひっかからない、 と考えるのは早計です。 シャープが提唱し現在広く使われている、電子書籍用のフォーマ..

検索

<前の日記(2010年03月16日) 次の日記(2010年03月24日)> 最新 編集

最近のタイトル

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|
<前の日記(2010年03月16日) 次の日記(2010年03月24日)> 最新 編集