Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2017年3月27日

「模倣したウェブサイトにご注意ください」「ブラウザに表示されるアドレスを確認してください。」 とのこと。アドレスの文字列が正しければ模倣サイトとじゃないと言えるのか?

三菱UFJ信託銀行 駄目ダメジャン! 三井住友信託銀行 駄目ダメジャン! 東芝 駄目ダメジャン! JXTG 駄目ダメジャン!
18
Nicholai MARO @MAROCKs

三菱UFJ信託銀行 駄目ダメジャン! 「模倣したウェブサイトにご注意ください」 「ブラウザに表示されるアドレスを確認してください。」 とのこと。アドレスの文字列が正しければ模倣サイトとじゃないと言えるのか?言えないだろ! tr.mufg.jp/ippan/about/fu…

2017-03-27 10:41:49
リンク www.tr.mufg.jp 三菱UFJ信託銀行のホームページを模倣したウェブサイトにご注意ください:三菱UFJ信託銀行 三菱UFJ信託銀行のホームページを模倣したウェブサイトにご注意くださいのページです。三菱UFJ信託銀行は、三菱UFJフィナンシャル・グループの中核を担う信託銀行として、プライベートバンキング業務や、不動産の仲介業務、株式の名義書換業務などの証券代行業務を行っております。 2
Nicholai MARO @MAROCKs

DNSキャッシュポイズンやローカルhostsファイル書き換えなどの手法には「アドレス文字列確認」では対応できないぞ。 なぜhttpsにしないのかな?httpsならサーバの存在証明もできるのに。

2017-03-27 10:46:02

三菱信託銀行はhttps:に対応していないので、
https://www.tr.mufg.jp/
は表示されない。

非httpsな
http://www.tr.mufg.jp/
なら表示する。

Nicholai MARO @MAROCKs

ここでみずほ信託銀行のページを見てみる。 mizuho-tb.co.jp と非httpsでアドレス文字列を入力しても mizuho-tb.co.jp とhttpsにリダイレクトされ、偽のサイトとホンモノのサイトとの区別が出来る様になっている。

2017-03-27 11:01:42

(https:)https://www.mizuho-tb.co.jp/ 接続可

(非https)http://www.mizuho-tb.co.jp/ 接続可

Nicholai MARO @MAROCKs

MUFGのやり方は駄目駄目ジャン!

2017-03-27 11:02:00
Nicholai MARO @MAROCKs

ついったーは勝手にリンク文字列を修正するのか。(^_^;) mizuho-tb.co.jp ←非http mizuho-tb.co.jp ←http

2017-03-27 15:18:43
Nicholai MARO @MAROCKs

三菱UFJ信託銀行が証券代行している場合に、議決権行使書でお知らせしているインターネット議決権行使サイトは evote.jp 。お知らせの文字列が非httpsなだけじゃなく、対応もしていない。なりすましサイト経由でIDとPWを読取られるかも? pic.twitter.com/oa7xc4iLhV

2017-03-27 15:35:50
拡大

(https:)https://evote.jp/ 接続不可

(非https)http://evote.jp/ 接続可

Nicholai MARO @MAROCKs

ここで三井住友信託銀行の場合をみる。議決権行使書でお知らせしているインターネット議決権行使は web54.net 。お知らせの文字列は非httpsだけれどhttpsに対応。"s"を補完すればフィッシング被害は防止可能。 pic.twitter.com/185IK0PRWf

2017-03-27 15:40:07
拡大

(https:)https://web54.net/ 接続可

(非https)http://web54.net/ 接続可

Nicholai MARO @MAROCKs

三大メガバンク系の残り一つ、みずほは?行使書でお知らせしているサイトの文字列は it-soukai.com 。これはhttpsと明記すると接続不可。https非対応。しかもhttpで接続すると soukai.mizuho-tb.co.jp へリダイレクト。

2017-03-27 15:50:21

(https:)https://it-soukai.com/ 接続不可

(非https)http://it-soukai.com/ 接続可

Nicholai MARO @MAROCKs

soukai.mizuho-tb.co.jp はhttpsだけれど、行使書でお知らせしている文字列ではなく。it-soukai.com でなりすましされていたら区別がつかない。しかし、みずほの場合は信託銀行のトップからhttps化されているので・・・(続く)

2017-03-27 15:52:20
Nicholai MARO @MAROCKs

議決権行使書の文字列ではなく、みずほ信託銀行のサイトから議決権行使のページまでhttpsで辿れるので、信頼のある経路のみでたどり着ける。(^_-)

2017-03-27 15:55:04
Nicholai MARO @MAROCKs

三井住友信託銀行のサイト smtb.jp はhttps非対応なので、信託銀行のトップページから議決権行使のページまで信頼のある経路のみで行く事は出来ないけれど、web54.net がhttps対応だからMUFGより良い。

2017-03-27 15:57:38

(https:)https://smtb.jp/ 接続不可

(非https)http://smtb.jp/ 接続可

Nicholai MARO @MAROCKs

MUFGは、信託銀行のトップページから議決権行使のページまで行く場合も、議決権行使書に案内されている文字列をブラウザのアドレス欄に書く場合も、いずれの方法でも信頼されていない経路を通ることになり、なりすましサーバとホンモノとの区別がつかない。 #なんてこったい

2017-03-27 16:00:07
Nicholai MARO @MAROCKs

三井住友もみずほも、webサイト内でhttpsで辿れるか、行使書案内の文字列をhttpsで接続指定するか、いずれかの方法でhttpsで安全に議決権行使ができる。出来れば「いずれの方法でも」と両方に対応してもらいたいが。 MUFGは全滅である。

2017-03-27 16:23:26
Nicholai MARO @MAROCKs

三井住友にはみずほのように、信託銀行のトップページからhttpsに対応して欲しいし、 みずほには、議決権行使書にhttpsで案内を接続できるように行使サイトの入り口をhttps対応して欲しい。 三井住友も行使書の文字列はhttpsと書くべきとは思う。

2017-03-27 16:26:33
Nicholai MARO @MAROCKs

で、三菱UFJ信託銀行、三井住友信託銀行、みずほ信託銀行、それぞれに要望を出してみた。対応を前提に検討します、が三井住友、回答待ちがみずほ、「接続トラフィック監視をしているから安全です」とフィッシングを理解していない回答をしてきたのがMUFG。 MUFG、ホント!駄目駄目だ。

2017-03-27 16:31:11
Nicholai MARO @MAROCKs

彼らにとって、個人株主はお客様ではなく、証券代行を委託してくる企業がお客様なのかもしれない。ということでキリンと東芝のIR部署に問合せてた。 キリンは流石!である。(^_-)。問題点をすぐに把握し「検討課題とします」。 ※キリンホールディングスはMUFGに代行委託しています。

2017-03-27 16:34:47
Nicholai MARO @MAROCKs

東芝、駄目駄目である。いくらIR部署がIT部門ではないからと言って、「https?判りません、ネット上でのログイン画面でhttpsかどうかなんて気にしてませんでした。」という人が電話に出てきた。 「ITが判る人、httpsが判る人、フィッシングが判る人」からの折返しを待っている。

2017-03-27 16:38:12
残りを読む(223)

コメント

JINMIN_party_Japan @Net_Uyoku_JpJ 2017年3月27日
つまり銀行のサイトで「ブラウザに表示云々」って言ってるけど、「ドメインを解決するところ」をいじくって別のページを表示されたり、「そのページを表示する場合~~のページを表示する」というファイルをPCに仕込まれた場合それでは対処できないよ?HTTPSを使えばある程度は何とかなるけど三井住友もMUFGも対応してないよね、という話ですね。
8
@funft 2017年3月28日
クライアントが既に汚染されてる前提なら何やっても無駄なのでは
1
空弁者 @scavenger0519 2017年3月28日
webサーバのSSL証明書のホスト名とwebブラウザのURL欄のホスト名が一致しないと、webブラウザが警告を出しますから、偽サイトかどうかの判定は出来ます。勿論、名前解決で偽サーバのIPアドレスしか得られないのなら、永久にホンモノサーバには接続できませんが、ブラウザも警告を出しつづけます。 funft
3
Yu-ta @VenusPower 2017年3月28日
ガラケー時代、三井住友のオンラインバンキングのログインページに、鍵マークが表示されていなかったので「不安です」とメールしたところ、チンプンカンプンな返答が返ってきたことがあります。ええ、今はちゃんと、鍵マークが表示されています。
1
魔法 💋うにゃ💄幼女 @KKG0R 2017年4月1日
そういえば、社員2万ぐらいの会社のシステム部でDNSとは?にまともな回答できる人がいなかったなあ。
0