先日、弊社のFacebookページでURL隠蔽問題について指摘しましたが、さっそく実験をしてみました。下の写真は、北海道銀行のインターネットバンキングに於けるログイン画面です。どちらかが本物のサイトで、残りが偽物のサイトと言うことになるのですが、判りますか?画像をクリックすると拡大した写真が出ますので、良く良く御覧下さい。

URLを隠していますが、これは筆者が意図的に隠しているわけではなく、インターネットバンキングのページ自体がJavaScriptを使ってURLを隠した状態で開かれるためにこうなっています。両サイトとも鍵マークは付いていて、サーバー証明書のエラーは一切出ていません。
さて、お判りになったでしょうか?勘ではなくて、明確な理由を持って判断して下さい。
答えは...

こんな感じです。隠されていたURLを表示するようにしてみました。結果、左側が本物のサイトで、右側が偽物のサイトであることが判ります。金融関係のサイトでは審査が厳しいEV-SSLというサーバー証明書を用いていますので、最近のブラウザだと緑色でサーバーを保有している会社名が表示されます。右側は通常のサーバー証明書を用いていますので、特に表示はありません。ここで見分けるしかないのが実体です。にも関わらず、何故か隠されている銀行さんが多いんですねぇ。困ったものです。
さて、ここで言えることは、サーバー証明書が導入されているサーバーが乗っ取られ、そこにフィッシングサイトを構築された場合には、URLが隠蔽されていると「本物と全く区別がつかない」サイトが出来上がると言うことです。鍵マークの確認だけだと区別がつきません。にも関わらず、地方銀行の多くではURLを隠蔽した形でインターネットバンキングのサイトが開くようになっています。これでは、ネットに詳しくない人に「フィッシングサイトに引っかからないように」と言う方が酷だと言えましょう。全く区別がつかないのですから。
数年前に、URLを隠すことの問題点を指摘された時期がありました。その時に、理解ある銀行はURLの隠蔽をしないように改修された模様ですが、現実にはまだまだ多数の銀行でURL隠蔽が横行しています。URL隠蔽は百害あって一利無しなのですが、システム担当者が理解していないので未だに残っているわけです。
さて、筆者が取引している銀行を調べてみましたが、地方銀行の一つ北洋銀行も下図のようにURL隠蔽をしていました。残念ですねぇ。

メガバンクの一つであるみずほ銀行は、ちゃんとURL表示がなされています。従って、巧妙に作られたフィッシングサイトが登場しても簡単に見分けることが可能です。こうでなければなりません。

カテゴリー
情報システム関連
前の記事
御社のBCP対策は本当に大丈夫ですか?
2012/11/08
次の記事
北海道の風景写真の販売を始めました
2012/11/11