携帯電話のフィッシングサイト対策、その方法は?
2010年3月15日(月曜日)
携帯電話のフィッシングサイト対策、その方法は?
公開: 2010年3月21日13時50分頃
だいぶ古い話ですが、一部で話題になったのでメモ……「フィッシング対策の現場から: インタビュー 第1回 今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏 (www.antiphishing.jp)」。
一般的に携帯電話は、画面が小さい、ページのデザインなどがPCよりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。
画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。
携帯サイトだと本物そっくりのページを作りやすい? いやいや、PCサイトでも本物そっくりのページを作ることは可能です。極端なことを言えば、リバースプロキシにして本物の内容を中継すれば全く同じにすることができます。
また、「マウスをリンクにロールオーバーさせてURLを確認」という方法ですが、これは現実的なのでしょうか? その確認をいつどうやって行うのでしょうか。全てのリンクについて、クリック前にステータスバーを見る……なんてことは非現実的です。では、特定のリンクだけ確認すれば良いのでしょうか。どんなときに確認するのでしょうか。
事前にいくら確認しても、リダイレクトされて異なるURLに飛ばされる場合もあります。その可能性がゼロでない以上、クリック前に事前確認する意味は薄いものと思います。
※昔はJavaScriptでステータスバーを改竄される可能性もありましたが、最近は難しくなってきていますね。
実際は単純に、「情報を入力する画面になったら、アドレスバーを見る」というだけで十分でしょう。
と、これはPCサイトの話。何故か携帯端末にはアドレスバーがない上、URLを確認するのもかなり面倒なので、どうしようもありません。「面倒でも頑張ってURLを確認する」もしくは「携帯サイトはいっさい信用しない」のいずれかになるのではないかと思います。スマートフォンが普及してくると、後者もけっこう現実的な選択肢になってきますね。
※「アドレスバーが実装されることを期待する」という選択肢はあるのでしょうか?
- 「携帯電話のフィッシングサイト対策、その方法は?」へのコメント (2件)
- 前(古い): 村正パワーアップ
- 次(新しい): Wizardry 囚われし魂の迷宮 追加シナリオ「修道女の赤き影」