「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告
うへ?
「電子メールのやり取りだけで,サーバー証明書を取得できるサービスが 最近登場しており,これを使えば身元をほとんど明らかにする必要がない」 のだという。認証局がサーバ証明書発行に関する最低限の規定を行っていないため、認証局自体が信頼できないとな?
ってことは、こういったサービスで行っている認証局で署名された電子署名は信頼できないということで、ブラウザから「この認証局を信頼できる」リストから外す必要が出てくるな。「2度目にアクセスすると正規のサイトにリダイレクトするフィッシング・ サイトも登場している」(星澤氏)という。アクセスしてきたIPアドレス を記録しておき,同じIPアドレスで再度アクセスした場合は本物のサイトに リダイレクトする仕組み。一度アクセスした後に,“さっきのサイトは ちょっと変だったかも”と思って再度アクセスしても,正規のサイト なのでフィッシングが発覚しにくい。これは ずいぶんと巧妙な・・・
気づかないかも。「フィッシングを仕掛けてくる犯罪者は,こうなっていれば安心という ユーザーの常識を覆してくる。個人情報の入力を促すWebサイトを利用する ときには細心の注意が必要だ」。こうなると、インターネットそのものの利用が、「安全」なんて唄うことができなくなってくるな。安全自体が神話ではあるけど、技術で少しでも利用者へのリスクを下げていたのに。