超簡単!phishing詐欺(7)

高木先生の日記から引用する。

http://takagi-hiromitsu.jp/diary/20050423.html#p02


何度も書いてきたとおり、フィッシング詐欺対策の要は、アドレスバーのURL
を確認することであり、錠前アイコンを確認することであり、SSLの証明書異常を
示す警告が出たら「いいえ」を押すことだ。

iehookのように悪意のあるプログラムを実行されている環境下において、「アドレスバーのURLを確認」することがどれだけ無意味なことであるかは、見てきた通りである。同様の原理により、IE自体をhookすれば、SSL通信をやっているように(表示を)見せかけることも出来るわけで、「アドレスバーのURLを確認」し、かつ「錠前アイコンを確認」し、「SSLの証明書異常を示す警告」が出ていなかったとしても、そのパソコンで悪意のあるプログラムが動作しているのなら、それらの確認行為には何の意味もないのである。*1


ある程度、パソコンに詳しい人の場合、phishing詐欺になんか引っかからないと自分を過信している節がある。URLさえしっかり確認しておけばphishingのサイトには行くことはないと思っている。でも、それは大きな間違いであることが前回の記事で証明された。


さらに言えば、プログラムにある程度詳しい人であっても、URLがこのようにリダイレクトされているのを目の当たりのすると多かれ少なかれ衝撃を受ける。少なくとも、この問題から目を背けることは出来ない。MicrosoftMVPであるNyaRuRuさんですらそうなのだ。(→id:NyaRuRu:20050423#p3) (つづく)

*1:高木先生自身はこのことをよく理解されているはずで、最初も言った通り私は高木先生の発言を補足するためにこの記事を書いている。