高まるウェブブラウザ偽装による被害をどう防ぐ?あえて自分での見極め放棄という手も

Business Journal / 2013年6月10日 14時0分

写真

 4月末以降、いくつかのウェブブラウザでアドレスバー部分が偽装される可能性があるという脆弱性が発表された。URLそのものが偽装される可能性があったのは、Android版の「jigbrowser+」などだ。このほかに、Windows向けの「Sleipnir for Windows」では、実際にはSSL通信をしていないサイトでSSLが使われているかのように偽装される恐れがあるというものだった。

 いずれもすぐに修正版がリリースされたため、きちんと最新版を利用していれば問題がないはずだが、まずは利用しているブラウザのバージョンアップがされていないかどうかをチェックしてみよう。

●アドレスバーの偽装は、フィッシングに悪用される

 アドレスバーが偽装されると何が危ないのかといえば、そのサイトが正しいものなのかどうかがわからなくなってしまう。つまり、フィッシング詐欺に利用されかねないという危険性が出てくる。

 フィッシング詐欺というと、メール等で「パスワードを再設定してもらうことになった」「ユーザーの再認証が必要になった」などと適当なことをいって偽サイトに誘導し、パスワード等を盗むというのが基本だ。この時に偽サイトであるかどうかを見破る方法として、アドレスバーのURLをチェックするというのは基本だ。しかし実は、今回の脆弱性に限らず、以前からアドレスバーを偽装するという方法があった。

 URLをチェックして、銀行やショッピングサイトの決済部分は必ずSSLになっているはずだから鍵マークをチェックする、というのはごく基本ではあるが、それだけでは信頼できるサイトかどうか見破れないのだということを、あらためて知っておいてほしい。

●偽物はどうやって見破る?

 URLすら当てにならないというならば、一体何を信頼すればよいのだろうか?

 一応、サイトの内容を見るというのは有効だ。いいかげんな詐欺なら、それで見破れることもある。しかし1ページ分の内容をコピーするのはとても簡単だ。

 1つの方法として、銀行のようなよく使う重要なサイトはブックマークしておき、メールでなんといわれようとブックマークからアクセスするという方法はある。もしパスワードの一斉変更を呼びかけるような大きな事態ならば、必ずトップページにそうした注釈が出るからだ。同じように、Google等で検索してみてもよいだろう。少なくとも、メール等に書かれたURLを直接クリックするのはお勧めしない。

  • 前のページ
    • 1
    • 2
  • 次のページ
ビジネスジャーナル

この記事に関連するニュース

トピックスRSS

ランキング