会社のブログにも書いた話なのですが、こちらにも書いておこうかな。と言う事で、本物のサイトを見分けるシンプルな方法を書いてみました。どの金融機関さんも「何やら小難しいこと」を書いていて、この方法には言及されていないようなので、こっそりとお知らせします。
先日発生した事件なのですが、Yahoo!の広告で京都銀行の偽サイトの広告が出てしまい、それに引っかかった方が不正送金されるという事件が発生したそうです。こういうフィッシングサイトに関するニュースを見るたびに思うのは、何故、ITジャーナリストの方々は危機感ばかり煽って、どうやって見分けるのかという話を書かないのかと言うことです。
そこで、テスト用に偽サイトを作って違いを御覧頂こうと思いブログを書いています。
このサイトと
このサイト
どちらが本物でしょうか?
以前は偽サイトと本物サイトを見分けるには「httpsで始まるかどうかで見分ける」と言われていました。でも、サーバー証明書が簡単に格安に取得できるようになり、また共用SSLという仕組みが用意されたりしていることから「httpsで始まるかどうか」では見分けられなくなっています。実際、この例ではどちらも「httpsで始まるアドレス」なのです。
では、どこで見分けたら良いのでしょうか?
実は、金融機関の殆どはEV-SSLという仕組みを導入しています。これは、登記簿謄本などを元に法人の実在性を確認し発行されるサーバー証明書で、サーバーの実在証明の他に企業の実在証明も行うというものです。しかも、対応ブラウザ(よほど古いブラウザでない限りは対応されています)では、EV-SSLを導入しているサイトにアクセスすると2枚目の画像のようにアドレスバーの部分に緑色で企業名が表示されたり、アドレスバー自体が緑色になり企業名が表示されたりします。なので、ここで本物のサイトを見分けることが可能なのです。
そう。現段階で本物のサイトを見分けるシンプルな方法が「アドレスバーの緑色化と企業名の表示を確認する」という事なのです。と言う事で、上の画像で言えば1枚目が偽サイト、2枚目が本物サイトと言うことになります。こんなにシンプルな見分け方があるのに、不思議と啓蒙されないんですよねぇ。ぜひとも、アドレスバーを確認して偽サイトに引っかからないようにしましょう!
京都銀行のサイトに学ぶシンプルな見分け方
Security
コメント