フィッシング対策をちゃんとやっている銀行・そうでない銀行

フィッシング対策に必要なもの

重要なのは2点です。知識なく守るのは難しいですが・・・。

  1. アクセス先のURLのドメイン名がアクセスしようとしている先として正しいかどうか
  2. サーバ証明書に問題がないか

説明は三菱UFJニコスのページに委ねたいと思います。
こうして見分けるフィッシング詐欺

フィッシング対策をきちんとやっている会社?

リンク先のサイトの正当性がわからないので、組織が取り扱うドメインの一覧がないと
アクセス先のドメイン名が妥当かどうか判断できません。
例えば三菱東京UFJ銀行はmufg.jpですが、mufg2.jpというサイトに誘導するメールが来た時
正しいサイト一覧が公開されていないと正しいサイトかどうか判断ができません。
注:後述のように三菱東京UFJ銀行はちゃんと公開しています
EV SSLを使っている場合は、使っているドメインの一覧も記載したほうが良いと思います。
ユーザがEV SSLを使っていないページを怪しいと思えるようになります。
加えて、Webの正当性をWebでのみ表記するというのも詐称の温床となるので、
店頭でも配布、郵送でも配布などをすることでより安全な確認ができるようになります。
Webでの一覧の公開をするのもはできればhttpsでやるべきでしょう。

確認できた金融機関

2016/1/28時点
三井住友銀行 リンク サイト一覧 ○、EV SSL一覧 ○、HTTPSでの公開 X、Web以外での公開 ?
三菱東京UFJ銀行 リンク サイト一覧 ○、EV SSL一覧 ○、HTTPSでの公開 X、Web以外での公開 ?
楽天銀行 リンク サイト一覧 ○、EV SSL一覧 ○、HTTPSでの公開 X、Web以外での公開 ?
ソニー銀行 リンク サイト一覧 ○、EV SSL一覧 ○、HTTPSでの公開 X、Web以外での公開 ?

もう一歩な金融機関

2016/1/28時点
誤りや更新がありましたらコメントをお願い致します。
新生銀行 リンク サイト一覧 ○、EV SSL一覧 X、HTTPSでの公開 X、Web以外での公開 ?
EV SSLについて記載が見当たらなかったです。鍵マークの確認だけが勧められているようです。
ゆうちょ銀行 リンク サイト一覧 X、EV SSL一覧 ○、HTTPSでの公開 X、Web以外での公開 ?
EV SSLの組織名の記載だけ確認できました。EV SSL以外のサイトは危険と明記して欲しいところです。
加えて、フィッシングの説明ページにはEV SSL、アクセス先のURLについての説明が見当たりませんでした。
東京スター銀行 リンク サイト一覧 X、EV SSL一覧 X、HTTPSでの公開 X、Web以外での公開 ?
EV SSLの利用自体は記載ありますが、対象ドメインの紹介が無いです。

アドレスバーに表示されたURLの横に、ウェブサイトを運営する組織名(NEC CORPORATION)と
SSLサーバー証明書を発行した認証局名(VeriSign)が交互に表示されます。

EV SSLを取得しているので一定の信頼はおけるものの、tokyostarbank.co.jp以外のサイトでも
上記にあてはまる無関係なサイトは存在しえるので安心とは言いがたいです。

確認できなかった金融機関

2016/1/28時点
誤りや更新がありましたらコメントをお願い致します。
三菱UFJモルガンスタンレー リンク 実際に使ってみるとEV SSLを使っているのはわかりますが、それらの説明は見当たりませんでした。
SMBC日興証券 リンク 一部のサイトでEV SSLが利用されているとの記載はあるもののその他のSSLサイトについては明記がありませんでした。
みずほ証券 どこにも見当たらず、EV SSLも利用していないようでした。
みずほ銀行 リンク サイト一覧 ○、EV SSL一覧 ○、HTTPSでの公開 X、Web以外での公開 ?
mizuhobank.co.jpを確認するよう記載がありますが、補足程度に小さく書かれているだけです。
当初はみずほ銀行は「もう一歩」に書いていたのですが、こちらの記事を読んでもはや、みずほ銀行のHTTPS
ページそのものの信頼性がよくわからない状態なので一旦こちらに移しました。
みずほ銀行のセキュリティ対策が酷すぎるのでまとめてみた

まとめ

「怪しいサイトにアクセスしないで」と注意喚起メールに書いてありますが実施するのは実は難しいです。
金融機関が積極的に「怪しくないサイト」を発信していただければユーザも安心して利用ができるようになります。
“確認できた金融機関”でもある程度検索しないと見つからなかったりするのでフィッシング対策の
筆頭としてまずはまとめて欲しいなぁと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です