あるサイトを見ていて、愕然とするようなページを発見したので、注意喚起のために報告する。 実は、ここ以外にも多く見られる例なので覚えておいて欲しいのだが、個人情報を入力するときは必ず「httpsで始まるアドレスになっていること」と「鍵マークが出ていること」、そして「外部のアドレスに遷移していないこと」を確認して欲しい。 この三条件を満たしていないサイトは、高確率で「個人情報が保護されない」と思うべし!
で、問題のサイトの個人情報入力フォームは
となっている。 サイトシールが貼られているのに、「httpsで始まるアドレス」になっておらず、「鍵マーク」も出てこない。 要するに、保護されているかどうか判断のしようがないサイトである。 この段階で、個人情報を提供するのには高リスクなサイトであると認識すべきですね。
適当に入力して、確認画面に遷移しても「httpsで始まるアドレス」にならず、「鍵マーク」も出てこない。 この段階で、個人情報は流出したものと思え!っていう感じです。 実は、裏では暗号化通信されているようなのですが、表向き出てこない以上は一般の方に確認のしようがありません。 パケットキャプチャなんてしないですよね。 普通は。
いよいよ送信されました。 結局、「httpsで始まるアドレス」にならず、「鍵マーク」も出てきませんでした。 表向きの動きとしては暗号化されずに、平文で送信されたことになりますので、「もうダメぽ」という感じです。 個人情報が流出してしまったものとして諦めましょう(苦笑)
ちなみに、サイトシールを確認すると…
完全にダメですわ。 表示されているサーバとは全く別のサーバのサイトシールになってます。 要するに、サイトシール自体が偽装されたものだったんですね。
お判りになったでしょうか? サイトシールは、容易に偽装できてしまう(実は、サイトシールが偽装されているわけじゃないんですが、そう見えてしまう)んですね。 だから、これを信じてはいけないんです。 なので、サイトシールに騙されることなく、最初に挙げた三条件を満たしたところだけに個人情報を提供するべきであると言う事なんです。 もっと言えば、鍵マークをクリックして証明書の中身を確認したうで、確からしいところだけに個人情報を提供すべきなんですね。 知らずに、個人情報を提供すると、第三者の手に渡ってしまう可能性が高いという認識をすべきなのです。