第三回の最終回を前に、少し問題を解いてみましょう。ウェブサイトが本当に正しいのかはいろんな判断の仕方がありますが、どのようなことを気を付ければいいのでしょうか?
SSLマネジメントの話しをしているので、そこは着目するのは必然ですが、是非以下の問題を解いて(画像を見て)、本物か偽物かを楽しく判断してみてください。
さて、いくつ正解できるかな??
第1問:DHL編
第2問:Microsoft/OneDrive編
第3問:PayPal編
第4問:Microsoft/Outlook編
第5問:Facebook編
第6問:Bank of America
第7問:Adobe編
第8問:アリババ編
第9問:DocuSign編
第10問:Dropbox編
解答
いかがでしたでしょうか?
「簡単」という方も「ん~」と頭を悩ませた方もいたのではないでしょうか。
答えを言いますと、すべてフィッシングサイトです。
画像の貼り付けですので、細かなチェックができないというのはありましたが、「疑わしいサイトかな?」と気づくところまでは上記画像だけでも可能です。
着目すべきは、ドメインネームです。
(SSLマネジメントの回なのに、そっちかい!という突っ込み、すみません。。)
ドメインネームがおそらく皆さんが日々触れているドメインネームとは異なる、ということは気づくことができたのではないでしょうか?
「本物かな?」と考えたときにいくつかの要素を総合考量在的していたと思います。デジタルの情報に圧倒的な信用性はないことを改めて知ると恐ろしいですね。(SSLはこの記事のような画像からだけでは判断ポイントとはし難いです。)今回のケースでいえば、潜在的に記憶しているドメインネームをもう少し操ってしまえば、騙せる可能性は上がるってことですね。
※この記事の全画像出典:phishbank.orgです。
詐欺サイト(フィッシングサイト)の見分け方(確認方法)・対策
100%の保証はできませんが、例えばウェブサイトで何か情報を提供する必要があるときは、以下を注意して本物かを確認しましょう。
①SSLがついているか?
②SSLは、Let’s Encrypt もしくは Comodoではないか?
③ドメインネームは公式サイトと同じホスト名か?
④ドメインネームはコンテンツのブランドと一致もしくは含んでいるか?
⑤コンテンツは公式サイトと同じか?
⑥コンテンツのコピーライトは公式サイトと比較して正しいか?
⑦ソースコードに中国語は混じっていないか?
⑧Whoisを確認
⑨ブランドTLDを利用しているか?(.sony .softbank .toyota)※これだけは絶対的な信用あり
以上、デジタル上だけでの判断は非常に難しいものとなってきています。ウェブを運営する側としては、正しい発信者であり、正しいコンテンツが掲載されていることを保証していくためにデジタルブランド資産のコントロールをしていく必要があることに気づかされます。
SSLを復習したいなら...
〈ライタープロフィール〉
寺地 裕樹(てらち ゆうき)
GMOブライツコンサルティング株式会社
営業本部 IPソリューション部
情報セキュリティのリーディングカンパニーである株式会社ラックのシステムエンジニアとして3年間従事。その後、司法試験を経て、GMOブライツコンサルティングに参加。営業としてだけではなく、コンサルタントとしても企業のドメインネームマネジメントについて、日々お客様の悩みに向かい合っている。