イーバンク銀行のフィッシング詐欺対策は実はほぼ無意味
以前の記事 で紹介した、イーバンク銀行が実装したフィッシング詐欺対策機能はほぼ無意味であることが判明。 以降、産業総合研究所の高木氏による記事(2004/10) から引用。
問題点・・・確かにそのとおり。なんで気づかんかったんだろう(→自分)。PHPでもJavaでもperlでもそういうことを実現できるモジュールはいくらでもある。本気でフィッシング詐欺をやろうという輩ならその程度の技術力は十分あるだろう。
------
ユーザがパスワードの前半をサイトに入力してボタンを押したとき、自分の登 録キーワードが画面に表示されたからといって、それが本物サイトであるとは 限らない。
なぜなら、同じ画面を偽サイト上に構築し、騙して入力させた前半のパスワー ドと口座番号を、偽サイトが本物サイトに送信すれば、偽サイトは本物の「登 録キーワード」を入手することができるのであるから、それを偽サイトの画面 上に表示できてしまう。
そのような偽サイトは、ブラウザからのアクセスの全部を本物サーバへと中継 し、本物サーバからの応答をそのままブラウザに中継して返すという、単純な プログラムで実現できてしまうのであり、高度な技術を要するものではなく、 そのようなケースを想定しなくてよいことにはならない。
アクセス先が本物かどうかは、ブラウザが備えている機能によってしか確認し 得ないのであって、サイト側の工夫だけで真正性を示すことは本来原理的にで きないのだと心得るとよい。まったくそう。 素人がセキュリティ上の大発明なんてやってはいけない。
2004年10月13日
Comments [1]
|
Trackbacks [0]
コメント
イーバンクの工夫については、「単純なしかけで、ユーザにもわかりやすい」と思ったのですが、指摘されているような弱点はありますね。
大変参考になりました。 ありがとうございました。
Posted by Masa33 at 2004年10月13日
コメントする
(初めてのコメントの時は、コメントが表示されるためにこのブログのオーナーの承認が必要になることがあります。承認されるまでコメントは表示されませんのでしばらくお待ちください)