「模倣したウェブサイトにご注意ください」「ブラウザに表示されるアドレスを確認してください。」 とのこと。アドレスの文字列が正しければ模倣サイトとじゃないと言えるのか?
-
- いいね!90
Nicholai MARO
@MAROCKs
三菱UFJ信託銀行 駄目ダメジャン! 「模倣したウェブサイトにご注意ください」 「ブラウザに表示されるアドレスを確認してください。」 とのこと。アドレスの文字列が正しければ模倣サイトとじゃないと言えるのか?言えないだろ! tr.mufg.jp/ippan/about/fu…
2017-03-27 10:41:49
Nicholai MARO
@MAROCKs
DNSキャッシュポイズンやローカルhostsファイル書き換えなどの手法には「アドレス文字列確認」では対応できないぞ。 なぜhttpsにしないのかな?httpsならサーバの存在証明もできるのに。
2017-03-27 10:46:02三菱信託銀行はhttps:に対応していないので、
https://www.tr.mufg.jp/
は表示されない。
非httpsな
http://www.tr.mufg.jp/
なら表示する。
Nicholai MARO
@MAROCKs
ここでみずほ信託銀行のページを見てみる。 mizuho-tb.co.jp と非httpsでアドレス文字列を入力しても mizuho-tb.co.jp とhttpsにリダイレクトされ、偽のサイトとホンモノのサイトとの区別が出来る様になっている。
2017-03-27 11:01:42(https:)https://www.mizuho-tb.co.jp/ 接続可
(非https)http://www.mizuho-tb.co.jp/ 接続可
Nicholai MARO
@MAROCKs
ついったーは勝手にリンク文字列を修正するのか。(^_^;) mizuho-tb.co.jp ←非http mizuho-tb.co.jp ←http
2017-03-27 15:18:43
Nicholai MARO
@MAROCKs
三菱UFJ信託銀行が証券代行している場合に、議決権行使書でお知らせしているインターネット議決権行使サイトは evote.jp 。お知らせの文字列が非httpsなだけじゃなく、対応もしていない。なりすましサイト経由でIDとPWを読取られるかも? pic.twitter.com/oa7xc4iLhV
2017-03-27 15:35:50
拡大
(https:)https://evote.jp/ 接続不可
(非https)http://evote.jp/ 接続可
Nicholai MARO
@MAROCKs
ここで三井住友信託銀行の場合をみる。議決権行使書でお知らせしているインターネット議決権行使は web54.net 。お知らせの文字列は非httpsだけれどhttpsに対応。"s"を補完すればフィッシング被害は防止可能。 pic.twitter.com/185IK0PRWf
2017-03-27 15:40:07
拡大
(https:)https://web54.net/ 接続可
(非https)http://web54.net/ 接続可
Nicholai MARO
@MAROCKs
三大メガバンク系の残り一つ、みずほは?行使書でお知らせしているサイトの文字列は it-soukai.com 。これはhttpsと明記すると接続不可。https非対応。しかもhttpで接続すると soukai.mizuho-tb.co.jp へリダイレクト。
2017-03-27 15:50:21(https:)https://it-soukai.com/ 接続不可
(非https)http://it-soukai.com/ 接続可
Nicholai MARO
@MAROCKs
soukai.mizuho-tb.co.jp はhttpsだけれど、行使書でお知らせしている文字列ではなく。it-soukai.com でなりすましされていたら区別がつかない。しかし、みずほの場合は信託銀行のトップからhttps化されているので・・・(続く)
2017-03-27 15:52:20
Nicholai MARO
@MAROCKs
議決権行使書の文字列ではなく、みずほ信託銀行のサイトから議決権行使のページまでhttpsで辿れるので、信頼のある経路のみでたどり着ける。(^_-)
2017-03-27 15:55:04
Nicholai MARO
@MAROCKs
三井住友信託銀行のサイト smtb.jp はhttps非対応なので、信託銀行のトップページから議決権行使のページまで信頼のある経路のみで行く事は出来ないけれど、web54.net がhttps対応だからMUFGより良い。
2017-03-27 15:57:38(https:)https://smtb.jp/ 接続不可
(非https)http://smtb.jp/ 接続可
Nicholai MARO
@MAROCKs
MUFGは、信託銀行のトップページから議決権行使のページまで行く場合も、議決権行使書に案内されている文字列をブラウザのアドレス欄に書く場合も、いずれの方法でも信頼されていない経路を通ることになり、なりすましサーバとホンモノとの区別がつかない。 #なんてこったい
2017-03-27 16:00:07
Nicholai MARO
@MAROCKs
三井住友もみずほも、webサイト内でhttpsで辿れるか、行使書案内の文字列をhttpsで接続指定するか、いずれかの方法でhttpsで安全に議決権行使ができる。出来れば「いずれの方法でも」と両方に対応してもらいたいが。 MUFGは全滅である。
2017-03-27 16:23:26
Nicholai MARO
@MAROCKs
三井住友にはみずほのように、信託銀行のトップページからhttpsに対応して欲しいし、 みずほには、議決権行使書にhttpsで案内を接続できるように行使サイトの入り口をhttps対応して欲しい。 三井住友も行使書の文字列はhttpsと書くべきとは思う。
2017-03-27 16:26:33
Nicholai MARO
@MAROCKs
で、三菱UFJ信託銀行、三井住友信託銀行、みずほ信託銀行、それぞれに要望を出してみた。対応を前提に検討します、が三井住友、回答待ちがみずほ、「接続トラフィック監視をしているから安全です」とフィッシングを理解していない回答をしてきたのがMUFG。 MUFG、ホント!駄目駄目だ。
2017-03-27 16:31:11
Nicholai MARO
@MAROCKs
彼らにとって、個人株主はお客様ではなく、証券代行を委託してくる企業がお客様なのかもしれない。ということでキリンと東芝のIR部署に問合せてた。 キリンは流石!である。(^_-)。問題点をすぐに把握し「検討課題とします」。 ※キリンホールディングスはMUFGに代行委託しています。
2017-03-27 16:34:47
Nicholai MARO
@MAROCKs
東芝、駄目駄目である。いくらIR部署がIT部門ではないからと言って、「https?判りません、ネット上でのログイン画面でhttpsかどうかなんて気にしてませんでした。」という人が電話に出てきた。 「ITが判る人、httpsが判る人、フィッシングが判る人」からの折返しを待っている。
2017-03-27 16:38:12