«前の日記(2004-09-27 (月)) 最新 次の日記(2004-09-29 (水))»  

まちゅダイアリー


2004-09-28 (火)

イーバンク銀行が導入したキーワード確認機能はフィッシング詐欺防止にならない

ユーザがパスワードの前半をサイトに入力してボタンを押したとき、自分の登録キーワードが画面に表示されたからといって、それが本物サイトであるとは限らない。 なぜなら、同じ画面を偽サイト上に構築し、騙して入力させた前半のパスワードと口座番号を、偽サイトが本物サイトに送信すれば、偽サイトは本物の「登録キーワード」を入手することができるのであるから、それを偽サイトの画面上に表示できてしまう。

キーワード確認機能の記事はちょっと前に読んだ記憶があるけど、こんな簡単な欠点があることに気がつかなかった…。 いわゆる中間者攻撃 (Man in the middle attack) の一種かな。

この手法でいくと、「偽サイトは完全に本物のサイトになりすますことができる」ってことになる。 見破る手法は、アドレスバーの確認のみ…か。 Firefoxのように、SSLを使っているサイトではアドレスバーを黄色にするといった対策が重要なんだろうな。

しかし、銀行の関係者もメディアも、この欠点に気がついていなかったのか、それとも気がつかないフリをしていたのか…。

Tags: memo

リファラエディタプラグイン

数日前からリファラスパムが来るようになったのでメモ。 使うかどうかは分からないけど。 (from ぺこ日記)

Tags: tDiary