「フィッシング」タグアーカイブ

2006-02
14
23:45:00
“本物”のSSL証明書を持つフィッシング・サイト?


IT Proから“本物”のSSL証明書を持つフィッシング・サイト出現

確認された偽サイトは,「Mountain America Federal Credit Union」をかたるもの。実際のサイトのURLは「https://www.mtnamerica.org」だが,偽サイトのURLは「https://www.mountain-america.net」だった。間違える可能性は高い。

別に「本物」では無い訳で。以前からもこれぐらいはあるのではないのかな?
とは言え、これはSSLとかではなく、DNSつまりドメイン名の利用形態 としての一種の限界ですよね。

併せて,銀行やクレジット会社などでは,クリッカブルなリンクを記述したメールは送らないようにすべきとしている。正規の企業がそのようなメールを送ることは,フィッシング詐欺に遭う“土壌”を作ることになるからだ。

というのも、一部伺えます。
例えば属性証明書のように、国や公的証明機関などに「このサイトは一般的には○○として知られるブランドのサイトです」などと内容に踏み込んで証明させる、などの仕組みが今後必要になるかもしれない。
上記サイトに証明書を発行していたのがどこかは知りませんが、通常VerisignなどのCAは建前上サイトの存在証明しかしませんからね。より一歩踏み込んだ証明が必要とされているといったところでしょうか。
ブランディング属性証明とでも呼べばいいのかな。
と思うんだけど、どんなもんだろう。

2005-03
01
23:57:00
OperaでようやくSSL証明書情報が参照可能に・・なるか?


INTERNET Watchから

Operaが次期ブラウザのベータ2公開、フィッシング対策に大幅な改良
今回のバージョンから、URLに応じたセキュリティ情報がアドレスバーの中に表示されるようになった。正当に暗号化されたページを訪れている時にはアドレスバーの右半分に黄色いセキュリティバーが現われて証明書などの情報が表示される。これによって自分がだまされていないかどうかを容易に確認できる。

というのはIEやFirefoxなどでいうところのこれ

相当の機能ですかね。実物はまだ試していないのでよく分からないのですが。
Operaの最大の不満点は、httpsサイトを訪れている時にSSL証明書の詳細情報が参照できなかった(暗号方法やキーサイズなどの情報しかなかった)ことなのですが、フィッシング対策とは銘打っているものの、要は詳細情報を表示できるようにようやくなるみたいですね。
今まで何で対応していなかったのかが不思議です。
でもそうだとしても他のブラウザ並みになるだけなので、大幅な改良ってのはどうかと。
# 記事中でそれとなくXMLHttpRequestサポートに触れているのも”Ajax”対応を暗に示していて、流行ものに目ざといINTERNET Watchらしいですね。
追記
やっぱりそうでしたね。ほぼFirefoxと同様かな。
cert_opera8beta.jpg
でもツリー形式だと一覧で見にくいし、証明書のエクスポートとかは出来ないんですね。この辺りはIEが一番出来はいいですね。