通販決済 精巧な偽画面…カード情報1万3000人分被害か
コメント
選択しているユーザー
巧妙ですね。UI、UXスキルが高いデザイナー、エンジニアが関わっていますね。このデザイン技術を、本来の前向きなな事業に生かして欲しいところです。
注目のコメント
通販サイト側の危機意識も今まで以上に問われる。リアルの場面でも鍵をかけて泥棒が入らないようにするのと同じで、通販でも起こりうる事を踏まえ、リアルと変わらぬ備えが必要。
> 安東さん
SSL認証なんて有効なドメインさえ持ってれば簡単にできちゃいますよ…。
今では大抵のブラウザでエラー出ますけどオレオレ認証でよければ簡単に証明書作れますし、Let's Encrypt入れればタダで有効な証明書が作れます。
SSL認証はあくまで通信経路を暗号化するいうだけであって、アクセスしたサイト自体の信頼性を担保するものとは思わないほうがいいです。
ただ、個人情報を扱うサイトがSSL化されてないのは論外です。
SSL化されてない通信は傍受されると通信の内容が読み取られてしまいますので。
ちゃんとURLがhttpsから始まってるかは絶対にチェックしましょう。
今ではGoogleが常時SSL化されたサイトを検索で優遇するようになっているはず(また変わってるかもしれませんが…)なので、SSL化されているサイトはどんどん増えているはずです。
※追記
よく見ると、記事中の例はよくある中間者攻撃ですね…。
WEBサイトに限らず、情報のやり取りの中にこっそり介入して情報を窃取する、というのは常套手段です。
具体的なやり方は様々ですが。
※さらに追記
安東さんの話を聞いて少し調べてみたんですが、SSL証明書にもレベルがあるみたいですね…。
これは恥ずかしながら知らなかったので覚えておきます。
https://ssl.sakura.ad.jp/column/attestation-level/
httpsになっているかどうかのチェックでは足りず、
本当に信頼性を厳密にチェックするならEV認証になっているかをチェックしてそうではないサイトを避けるくらいにすることになるんでしょう。
でもEV認証までやるのは相当しっかりしたところだと思うので、現実的かどうかはわかりませんね…。少なくとも私は、個人情報を入れるサイトはURLがhttpsかどうかは絶対確認しています。
httpsはSSL認証必要で闇サイトが取得できるものではないと思ってますが、私の認識が違うようであればどなたご指摘いただければと。
これが防御策として有効なら、httpsかどうか確認するようにという報道をすれば良いと思う。
>鈴木さん
あっそうか。確かに誰でもhttpsできるわ。うーむ。
私が前職時代に会社として認証取得したのですが、定款や印鑑証明を提出してしっかりやっていた記憶があったので。ご指摘ありがとうございます。
ITの現場離れるとアンテナ鈍りますな。反省。勉強になりました。