日経サイエンス2005年4月号にナイスな記事が載っていた。
(略)情報セキュリティの技術者たちはこういうニセ証明書を“オレオレ証明書” と呼ぶ。(略)自治体を名乗って「ブラウザーの警告なんか無視してくれ」 というのがオレオレ証明書だ。(略)
(それぞれを無効に変更するのはユーザの自由。)
************************************** UFJ銀行誕生ごあいさつ 三和銀行と東海銀行は、UFJ銀行になりました ************************************** 三和銀行と東海銀行は、2002年1月15日に合併し、UFJ銀行として新たに スタートいたしました。 ―――――――――――――――――――――――――――――――――――――― インターネットバンキングのご利用について ―――――――――――――――――――――――――――――――――――――― ●現在、UFJ銀行のホームページは、アクセス集中により、大変つながりにくく なっております。お客さまには大変ご迷惑をおかけし、誠に申し訳ございません。 しばらく経ってからご利用いただきますようお願い申し上げます。 尚、インターネットバンキングのご利用は、当面、下記のURLよりログイン していただきますようお願いいたします。 http://www.csweb.co.jp/TBK/ufj/login.htm このメールに対する返信は受付できませんので、ご不明な点等がございましたら、 下記までお問い合わせください。 ――<お問い合わせ先>――――――――――――――――――――――――――― (略) ◇このメールは、旧三和インターネットバンキング2000ご契約者および 旧<東海>ダイレクトの方に配信しております。 ――――――――――――――――――――――――――――――――――――――さすがに、フィッシング詐欺がこれだけ認知された今では、こうしたメールが 流されることはないだろうと思われるが、実際につながりにくい事態が今後起 きた際には、どうするのだろうか? やはり、公式メールには電子署名があるのが当然という世論形成を今から準備していくしか ないだろう。
今回のphishing事案で、ネットのメディアは画像付きで報道しているが、 そのいくつかは、どういうわけか、わざわざアドレスバーを隠した画面を掲載 している。なぜこういうことをするのか理解しかねる。
「実際のUFJ銀行のサイトと見た目は同じ」というのは当たり前であり、 単に恐怖を煽るのが報道の目的でないのなら、 どうやって見分けるかを伝えることこそが画面掲載の意義だろう。
その点、ITmediaの報道では、アドレスバーについて画像付きで説明しており、的確だ。
一昨日から発生しているUFJ銀行を騙った日本語phishing事件で、偽サイトの ひとつはまだ稼動しているが、 その偽サイトで、http:// を https:// に変更してアクセスしてみたときの 様子を図1に示す。
昨日の日記に書いたように、銀行側は、 phishing詐欺に騙されないために、鍵マークとサーバ証明書の内容を確認せよ と言っているわけだが、この図を、 かつての広島市のオレオレ証明書サイト のときと比べて眺めてみる。さてどうだろうか。
証明書マネージャで、「サイト証明書」タブを選び、「インポート」ボタンを押す。
ファイル選択ダイアログが現れるので、手作業で運んできた証明書ファイルを選んで開く。図3のようにインポートされる。
インポートした項目を選択して「設定」ボタンを押すと、「サイト証明書に対する信頼性の設定」という設定ウィンドウが現れる。