「模倣したウェブサイトにご注意ください」「ブラウザに表示されるアドレスを確認してください。」 とのこと。アドレスの文字列が正しければ模倣サイトとじゃないと言えるのか?
-
- いいね!90
Nicholai MARO
@MAROCKs
みずほ信託銀行から回答が来た。it-soukai.com が非httpでも一瞬でhttpsに対応したsoukai.mizuho-tb.co.jp に接続するから安心です、と。ここで一瞬しか接続しないit-soukai.com が…(続く)
2017-03-27 17:21:08
Nicholai MARO
@MAROCKs
既に成りすましサーバの可能性を指摘。だって区別がつかないもの。 DNSキャッシュポイズンやローカルhosts書換の手法で、ホスト名が同姓同名で異なるIPアドレスに誘導する事は可能。 これを説明すると、MUFGの人は理解できなかったことをみずほの人は理解できたようで。(^_-)
2017-03-27 17:23:26「すぐにhttpsに対応したサイトに遷移しますから安心です」が間違いな訳。
一瞬しか接続しないhttp://it-soukai.com が既に成りすましサーバの可能性があるから。
みずほが用意したhttp://it-soukai.com ではなく、成りすましサイトのhttp://it-soukai.com にアクセスしている可能性があると言うこと。
しかもそのサイトは成りすましなのだから、見かけ表示だけでなく自動でリダイレクトするところまで真似るだろう。
最終的にホンモノのhttps://soukai.mizuho-tb.co.jp に接続するとしても、成りすましを経由している時点で、IDとPWは盗み見されているかもしれない。
また、成りすましサイトの http://it-soukai.com にアクセスした場合に、偽装者は https://nisemono.co.jp/ に誘導するかもしれない。このサイトのSSL証明書はホンモノサイトの文字列とは異なるので、偽装者が商用CAで用意可能、その場合、ブラウザは警告を出さない。そのようなサイトにアクセスする場合に、定年退職し退職金で株式を購入し、両手の人差し指でのみ、PCを操作しているような年配の方々のどの程度が遷移先サーバのアドレスを確認するだろうか?
もちろん、Webブラウザのアドレスを確認するのは利用者本人の責任ではあるが、IDとPWを求めるようなサイトで当初からhttpsでアクセスさせなない、というのは、ファーミングとフィッシィング対策をしていないサイトと言える。
Nicholai MARO
@MAROCKs
対策は、行使書で案内しているインターネット議決権行使サイトのアドレス文字列をhttpsで書くこと。案内文字列をsoukai.mizuho-tb.co.jpにするのも良いし、it-soukai.comをhttps対応にするのも良い。(^_-)
2017-03-27 17:25:29
Nicholai MARO
@MAROCKs
soukai.mizuho-tb.co.jp はhttpsで記述ね。ツイッターはURL文字列を勝手に核変えるから…。(^_^;) #なんてこったい
2017-03-27 17:26:40
Nicholai MARO
@MAROCKs
webサイトの注意喚起!案内が駄目ダメ!というのは三井住友信託銀行もMUFG並み。 正しい文字列でもヤバイIPアドレスを対応付けしてしまう仕組みを考慮していない。 #なんたこったい smtb.jp/general/securi… pic.twitter.com/y9peLImTbU
2017-03-27 17:35:19
拡大
Nicholai MARO
@MAROCKs
みずほが、mizuho-tb.co.jp をhttps対応しているように、 三井住友もMUFGもそれぞれ smtb.jp と tr.mufg.jp をhttps対応にしないとね。
2017-03-27 17:39:08
Nicholai MARO
@MAROCKs
みずほと三井住友は偽造される名前解決の可能性には気付いたようだけれど、いつ対応するかは不明、と。そりゃ大きな会社だからね。この危険性を偉い人に理解してもらうのに時間はかかるかもね。
2017-03-28 00:43:10
Nicholai MARO
@MAROCKs
MUFGがヤバイ!のは、名前解決が偽装される可能性に気付いていないこと。 「強固なファイアーウォールを用意しているから不正アクセスは出来ない」とか、「侵入検知システムがあり不正なトラフィックは監視している」と的外れなことばかり言う。
2017-03-28 00:46:17
Nicholai MARO
@MAROCKs
悪意を持った偽装サーバはMUFGの管理下には無い、ということが判らないんだよね。 フィッシング(ファーミング)という手法を理解していない。 ja.wikipedia.org/wiki/%E3%83%95…
2017-03-28 00:48:13
Nicholai MARO
@MAROCKs
SSLには二つの役目がある。 一つは暗号化通信、二つ目はサーバの存在証明。 暗号化通信はネットワーク知識のど基礎だからビギナーエンジニアでもご存知。存在証明は今時のネットワークエンジニアなら必須知識かと。 soumu.go.jp/main_sosiki/jo…
2017-03-28 01:12:10↑
このページを見にきた三大メガバンク系の人達は、上記SSL/TLSを説明するサイトが総務省運営であることに気付いてね!
Nicholai MARO
@MAROCKs
しかし、三大メガバンクグループで最大のところがMUFGなのだけれど、この程度のセキュリティ意識って…。 2008年から警告しているけれど、理解していないから対応しないのか、それとも理解しているけれど議決権行使を改ざんしたいとか何らかの意図があるのかな?
2017-03-28 01:17:44
Nicholai MARO
@MAROCKs
今日、三菱UFJ信託銀行から電話があった。IT部門に聞いてみたら偽装サイトに誘導される可能性がわかった、とのこと。この言い回し、ここ9年間で数度聴いている。しかし9年間対処してこなかったのだから「理解できたのね」と安心は、まだまだ出来ない。
2017-03-29 16:28:07
Nicholai MARO
@MAROCKs
一昨日、MUFGに証券代行を委託しているキリンホールディングスのIRに「MUFGに証券代行を委託すると問題あり」を伝えた。これを確認すると、矢張りキリンからこの件について指摘があったと。個人株主の指摘より証券代行委託のお客様からの話しの方が通り易いということ。この点も駄目!
2017-03-29 16:29:50