ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳
ブックマークIDとPASSが抜かれたぐらいでなんだ？という方の為に*ホームページを作る人のネタ帳

ソーシャルブックマークの登録ボタンから、ソーシャルブックマークのIDとPASSを入手してしまう手口の紹介。IDとPASSを抜き取るログイン画面の部分だけ偽者で、後は本物のサイトに飛ばしてしまうために分かりにくい。

自衛策としては、サイト上のブックマークボタンは信用せずにBookmarkletなりツールバーなりを使用することか。

どんどんと手口が巧妙になってきて、ちょっとやそっとじゃ分からなくなってきているのは怖いなぁ。

高木浩光＠自宅の日記 - 銀行のフィッシング解説がなかなか正しくならない, IE 7日本語版のEV SSL証明書表示はベリサイン従業員も混乱する

フィッシング詐欺関連についての銀行サイトの解説が正しくならない、という記事。セキュリティ的に正しい説明がなされないといけないのは当然なんだけれども、きちんとそういう説明を作れるくらいにしっかり理解している人って、いったいどれくらいいるのだろう？

素人的には、

• 個人情報やID、PASSを入力するときは、常に用心深く。
• 怪しいと感じたら、入力しない。
• 怪しいと感じたら、検索でそのサイトが本当のものなのか調べる。（サイト内リンクからではなく、検索エンジン経由で同じページにたどり着けるかを調べたり、そのサイトに関する詐欺情報が出ていないか検索）

を徹底するしかなさそう。

追記：
セキュリティ関連の話題は、詳しくもないのに適当なことを書いてしまうのは誤解を広げるだけ、ってことで一部削除。

安全なWebサイト利用には以下を参照されたい。

産総研 RCIS: 安全なWebサイト利用の鉄則

著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。

しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書かれていませんし、学校の教科書にも書かれていません。最近では行政機関や企業からフィッシングに注意を呼びかける文書が発表されることがありますが、あまり正しく解説されていないのが現状です。

この解説は、Webサイトを安全に利用する簡潔な手順を示します。無用で余分な確認手順等は排除しています。必要な手順のみを示します。

こうやって、セキュリティに詳しくない人（今回は私。反省。）が誤解を広めてしまいがちなのが、セキュリティ話の難しいところ。