2006年08月05日
■ ウゲ、イーバンク銀行の誤ったセキュリティ解説
イーバンク銀行のセキュリティについてのページに、「よくわかるイーバンクナビ」というFlashコンテンツが置かれていた。
その中の「セキュリティについて」に「イーバンクのフィッシング対策」という項目があるのだが、その内容が間違っていて、その通りに覚えた人は危険だ。
おいおい、「メールアドレスが似てたら」って……、似てるとかいう問題じゃないじゃろが。同じだったらいいっていうの?
それじゃ駄目じゃろが。「/」まで確認しないとだめじゃろが。実際、「フィッシング詐欺サイト情報」の7月28日のエントリに報告されているように、
● ebay.comの偽サイト 以下のように複数あります
ttp://signin.ebay.com.WMRgh.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.8TFfB.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.fr43S.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.e1aRQ.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.6dzPj.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.u9kwr.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
ttp://signin.ebay.com.ePbr9.aw0confirm.com/sc/ebay/index.php?eBayISAPI.dll=nouac
「http://signin.ebay.com」で始まることを確認したってだめなわけで、「.com/」まで見ないといけない。
だからさー、どうやってメールの送り主を確認するわけ?
素人に作らせるとこうなる。というか、このアニメーションを作らせるのに使われたと思われる元の解説からして間違っている。
・URLの最初が、「https://fes.ebank.co.jp」であることをご確認ください。
フィッシング対策, イーバンク銀行
「イーバンクがメールで個人情報をきくことはない」ですって? どうしてそういう事実に反することを平気で言うのかね。
自分でそう言ってるわけで。どうしてこうデタラメなんだ。しかも、画面のURLがニセくさいURLになってるし。
■ 三菱東京UFJ銀行の要領を得ないセキュリティ解説
東京三菱UFJ銀行の「「三菱東京UFJダイレクト(旧東京三菱)」ご利用時に真正なサーバーであることを確認する方法について」の出来も悪い。
なぜか「/」の前に空白を入れているという雑ぶりはともかくとして、どうでもいいパス名部分まで覚えさせるつもりなのか。「mufg.jp」だけが要点だってことをなぜ言わないのか。
別のページの「金融犯罪にご注意ください」でもこうだ。
【三菱東京UFJ銀行のSSL(暗号化通信)証明書】
・三菱東京UFJ銀行のドメイン名は「bk.mufg.jp」です。証明書の「発行先」は「www.bk.mufg.jp」「www02.bk.mufg.jp」「direct.bk.mufg.jp」のように、「bk.mufg.jp」で終わっています。
なぜ「bk.」まで入れるのか? なんだか、基本的なことがわかってないらしい*1。
*1 mufg.co.jp ではなく、mufg.jp などという信頼性の低いドメイン名を使っているのも不用意だ。mufg.co.jp が既に第三者に取られていたからなのだろうが、ならばなおさら危ないわけで。新会社の名前を決めるときにドメイン名を取れるかを考慮に入れなかったのか。