« 【日記】てんこもり | Main | 第29回エリザベス女王杯(G1) »

Nov 12, 2004

SSL鍵アイコンを偽装してみた

 こんな記事があった。

 ITmedia エンタープライズ:目で見る「アドレスバー偽造型」フィッシング詐欺の手法

 これによると最近のフィッシング詐欺では、JavaScript+ダイナミックHTMLと組み合わせて(具体的にはwindow.createPopup()を使用)イメージ画像をポップアップさせ、アドレスバーの上に綺麗に配置することで、アドレスを偽装しているらしい。

 ふーん……。なんとも単純な技やね。

 このアドレス偽装によってユーザは正規のサイトと勘違いして個人情報を盗まれる。つまりは、フィッシング詐欺の為の技なんですけどね。

 で。この記事には、アドレス偽装とフィッシング詐欺を見破る方法が書いてあったんだけど。

3. SSL偽装は鍵アイコンでチェック

 鍵アイコンの偽装ができるかどうかは別として、少なくともお金が絡むサイトならば、SSLで保護されていてしかるべきだ。特に金融系ならば、せめて「128bitの暗号化は当たり前」と考え、アクセスする際には最低でも、マウスカーソルを鍵アイコンに当ててチェックする習慣を付けておくとよいだろう。(ITmedia エンタープライズ:目で見る「アドレスバー偽造型」フィッシング詐欺の手法)より引用

 鍵アイコンってこれね↓
 偽装例

 うん、まぁ、フィッシング詐欺のページはSSLまでは偽装してない場合が多いからね。ちゃんとSSLが有効かどうか確認すれば大丈夫。
 
 なんだけれど、「鍵アイコンの偽装ができるかどうかは別として」とあるが。これに関しては出来ます。

 おまけにアドレス偽装に近い感覚で。簡単に。

 と言う訳で、SSLの鍵アイコンを偽装するだけのテストスクリプト作ってみました。
 
 
 サンプル → SSL鍵アイコン偽装スクリプト
 
 
 動作環境は、WindowsXP SP1(SP2では出来ないらしい、未確認)、ウィンドウのスタイルを「Widnowsクラシック」に設定、InternetExplorer6.0、スクリプトはON、セキュリティレベル中、と言う環境が対象。タブブラウザとかは描画がずれるからダメよ。

 と、物凄いクローズな環境(というか、我が家の環境 笑)でしか正しく動作しませんが、何となくどういう動作をしているか分ってもらえると思います。

 もちろん、このスクリプトのページでSSLを利用している訳がありません。けれど、鍵アイコンが表示されている。っていうのが分って頂ければ(ソースを見られると笑われそうですが、アドレス偽装も記事によるとこの程度の簡単な物らしいですからチープですがこんなもんでしょう)。


 これがピタっと環境が適合して、下の画像程度に偽装できているならば、フィッシング詐欺にだまされる可能性は高そう。ちなみにAltで暗号のビット数も偽装しておきましたから、「マウスカーソルを鍵アイコンに当ててチェックする」でもキチンと偽装してくれます。安易ですが。

偽装例上が偽者、下が某ショッピングサイトの本物のSSLアイコン、一見すると分らない。

 ただし、IE6.0で表示されるポップアップは一個まで。と最近では制限されているので、アドレス偽装を同じようにポップアップで偽装した場合は組み合わせられませんけどね。

 しかしアドレス偽装に関しては他にも色々方法があるので、以上の実験から偽装方法を色々と組み合わせれば、アドレスとSSLアイコンを見ただけではそのサイトが本物とは断定できないと言えるでしょう。

 SSLの認証をダブルクリックで確認しない限り何だか危険な気がします。

 ちなみに、ITmediaだけかと思ったら、フィッシング詐欺への対策なんですが、結構この「SSL鍵アイコンで本物かどうか判断する。」と指示するサイトは多かったです。(こことかこことか)

 この「見破り方」は危険なのですぐやめるべきだな、と感じました。
 
 
 
 と言うか、マイクロソフトが提唱してたんだ、この方法(苦笑)。結局SP2にするとかブラウザ変えるしか回避策は無いみたい。

#ちなみに、この程度ならスクリプトいじれる人ならすぐ出来ます。あしからず。

<参考サイト>
セキュリティホール memo
Welcome to OpenSpace !!

<参加TBぴーぷる>
パソコンセキュリティ

|

« 【日記】てんこもり | Main | 第29回エリザベス女王杯(G1) »

Comments

ぱぱぱぱっぱぱー♪
Firefoxの出番ですわね(はあと)

でも、だからってFirefoxが完璧なまでにセキュアだって訳ではないですが。
ぎゃふん!(死語)

Posted by: ぐれにー@Firefox推進委員 | Nov 12, 2004 at 18:47

コメントありがとうございます。

そーなんですよねー(笑
結局のところブラウザ変えれば?となる訳で……。

気づけば「Windowsやめたら?」
と言う発送に行き着いちゃうわけで(爆

Firefoxは依然書きましたが、
Windowsでは定番のクリック後の効果音が無いので、
その違和感がどうしても払拭できず常用できません(^^;

Posted by: エヴラカ丸. | Nov 17, 2004 at 01:47

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/1924/1937985

Listed below are links to weblogs that reference SSL鍵アイコンを偽装してみた:

» Tramadol. [Tramadol.]
Tramadol. [Read More]

Tracked on Apr 14, 2007 at 02:38

» コンピュータがスパイウェアに感染しているかどうかを確認する方法【インターネットエクスプローラが好き】 [インターネットエクスプローラが好き]
次の場合は、何らかのスパイウェアがコンピュータにインストールされている可能性があります。 Web ブラウザに、自分で追加したものではない新しいツール バー、リンク、またはお気に入りが表示される。 ホーム ページ、マウス ポインタ、または検索プログラムが予...... [Read More]

Tracked on Jun 12, 2007 at 11:15

« 【日記】てんこもり | Main | 第29回エリザベス女王杯(G1) »