メインページに戻る
過去ログ

Unlimited Fuckin Japan

年が明けて一月たっても相変わらず何をする金があるわけでもなく、能無しライフを満喫中ですが、 そんな貧民にも暖かいメールを差し伸べてくださる方が世の中にはいるもので。

なるほど、銀行の安全性が更新されたのか。それではアカウントが凍結?休眠されないようにアカウントをご認証しないとな!

ブラウザに表示される URL は本物っぽい、証明書も正当なものだと主張しているようだ。本物のサイトからのご案内なのかしら?

デタラメな契約番号を入れても通らない。どうやら本物のサイトらしい。 リダイレクトの時に入力内容をのっとるような隠しフレームを仕込んでるのだろうか? そうだとすると (あからさまに怪しいリンクをクリックするかはさておき) 本物とフィッシングサイトを URLや証明書の有無で見分けられないんじゃね? それってやばくね??

先ほどのメールを改めてデスクトップからメールソフトで見てみるとご丁寧に文字コードは GB2312、なおかつリンク先に別のURLが見えてしまっているのですな。 リンク先のURLを直接ブラウザに入力してみると、ご期待通りUFJっぽいドメイン名が混ざった普通に中国TLDのサイトに飛ばされた挙句タイムアウトしてしまいました。 いやあ残念残念。

冒頭のAndroidのメール表示のはHTMLパートを無視してテキストメールを表示した上で、本文中のURLっぽい部分をリンクとして解釈したので、 結果として偽造されたリンク先は無視して本文に書かれている本物のUFJ銀行のサイトに普通にリンクされていたようです。 まぁどっちにしろメールのリンクからサイトに飛んだ挙句、「乱数表全体の入力を求めることはありません!」という警告画像の隣で 乱数表全体を1行ずつ入力するような頭が可哀想な人がどれほどいるのかという疑問は消えないのですが。

ITに弱いとかコンピュータに対する不安から書かれていることに従ってしまうとかそういう事ではなく、 思考と言う概念そのものを放棄しているような人々はせいぜい有り金全部中国人にくれてやってから猛省してくれませんかね。

で、当の三菱東京UFJ銀行自身が注意喚起してるのは勿論として、「フィッシング対策協議会」とやらでも告知されてるんですが、 この内容がまた微妙で笑えますね。 「このようなフィッシングサイトにてアカウント情報を入力しないでください」は全くもって正しいのですが、 「サイトのURL」なんて偽サイトのURL例を出しちゃってるのは超まずいでしょ。 これじゃ本文に書かれてるURLを見て、実際にどこにリンクされてるかを確認せずに 「本物のUFJ銀行から来てるからこれは本物のメールだな」って判断しちゃいませんかね? こういう書き方をするんだったらリンク部分にカーソルを当ててみて実際のリンク先を確認するとか、 プロパティ表示してリンク先を確認するとか、 ヘッダを見て明らかにUFJと関係ないサイトから送られて無いことを確認して……

……ってちょっと待てやオイ。本物のUFJから来たメールマガジンのヘッダなんですが、 証明書を添付して信頼性を主張するようなメールを他社に委託してるんかい。 いやまあオンラインバンキングのシステムなんかでも、「○○銀行インターネットバンキングシステム」と言いつつ、 証明書情報を表示するとSIer、なんてのは普通にありますけどね? 当行以外からの偽メールに注意!ってメールを当行以外が送ってくるのはあんまりなのでは??

話がそれましたけど、何が気に入らないって前述の協議会とやらがJPCERTの子飼い組織なんですよね。 むしろJPCERTが協議会の子飼いなのか? まぁともかく、常日頃から世間の恐ろしさとセキュリティの大切さを問うていらっしゃる賢人たる皆様なのですから、 ここはひとつ我々無知な愚民にも5分で理解できるよう懇切丁寧な手引きをお願いできないものでしょうかね。

それとも企業や団体のセキュリティ担当者向けの情報提供なので我々のような瑣末な存在は考慮して無いということなのでしょうか。 インプレスの記事なんかだと情報提供元としてしっかりリンクされているようですが?


メインページに戻る
過去ログ