フィッシング詐欺対策 ドメインの正しい読み方【ボツネタ】

公開日:2014年6月29日 

フィッシング詐欺対策 ドメインの正しい読み方【ボツネタ】

フィッシング詐欺の撲滅を願い正しいドメインの見方・読み方について説明しようとしたのですが、二転三転してボツになった記事です。お暇ならご覧ください。


三菱東京UFJ銀行のサイトが大変なことになっているのは、ネット界隈では有名な話です。

fsagi1

ファーストビュー(サイトを開いて最初に見える範囲)の半分が警告です。初めて見た時は、悪いハッカーにクラック(改ざん)されたのかと思いました。

こんなに警告文を出さないといけないほど、フィッシング詐欺が横行しているようです。物騒な世の中ですね。

そして、ついに私のところにもこんなメールがきました。

そな銀行。

「そな銀行」だそうです。たぶん「りそな銀行」と書きたかったのでしょう。

他にも

本人認証サービス お使いのメールアドレスを確認してください。

三井住友銀行からも似たようなメールが届きました。

もちろんこれらは偽メールです。フィッシング詐欺と言われる詐欺メールです。

それぞれのリンク先は、【http://www.szpdzs.com/js/】と【http://www.whchanghua.com.cn/js/】でした。

/js/と書いてあり、それが悪いスクリプトだったら嫌なのでaguseのゲートウェイを使って上記2つにアクセスしてみました。

しかし、そな銀行にはアクセスできませんでした。もう強制削除されたようです。

もう一方の三井住友の偽サイトは繋がりました。(6/28の夕方頃)

三井住友銀行を模したフィッシング詐欺サイト

転送された先のURLは、
http://direct.smbc.co.jp.rfr.co.in/aib/aibgsjsw5001.jsp/
です。サーバーはDION(KDDI)ですので、このサイトもきっとすぐに強制削除されるでしょう。

ちなみに本物の三井住友銀行のログイン画面のURLは、
https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp
です。

ドメインの正しい読み方

各銀行さんは偽メールの文面や偽サイトの画面を例にあげて説明しておりますが、メールの文面もすぐに変わるだろうし、画面は本物そっくりにつくるので、人によってはわかりにくいのではないでしょうか?

例えば、

fsagi5

fsagi6

fsagi7

ちょっとわかりにくいです。

そこで私がおすすめしたいフィッシング詐欺防止策が、ドメインを正しく読むことです。

ドメインとは?

トップレベル、セカンドレベル、属性型地域型◯◯ドメイン等々…あまり詳しく説明するとわけが分からなくなってしまいますので、一言で言うと「世界で唯一のネット上の住所」です。当ブログで言えばmiz2403.comのことです。

URLのどこを見ればいいか?

fsagi8

まず3つ目の「/(スラッシュ)」以降は不要です。それとhttpやhttpsというのは通信方式の種類なので、詐欺サイト判断には不要です。

金融機関のログイン画面でhttpsでない時点でNGですが、その辺を対策する詐欺サイトもあると思うので、通信方式で判断するのは危険です。

https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp (本物)
http://direct.smbc.co.jp.rfr.co.in/aib/aibgsjsw5001.jsp/ (詐欺サイト)

//direct.smbc.co.jp/ (本物)
//direct.smbc.co.jp.rfr.co.in/ (詐欺サイト)

フィッシング詐欺サイトのURLにも「direct.smbc.co.jp」とあり、一見本物のようですが、よくみると「rfr.co.in」というのがついてます。これが詐欺サイトのドメインです。
(このケースの詐欺サイトのドメインです。他にも詐欺サイト毎にドメインはあります。)

rfr.co.inの所有者は、本物のドメイン&サブドメインである「direct.smbc.co.jp」と同じ文字列をサブドメインとして使っています。サブドメインというのは、ドメインの所有者が自由に付けられますので、上記のように「direct.smbc.co.jp.rfr.co.in」でも、三菱東京UFJを模した「entry11.bk.mufg.jp.rfr.co.in」とでも自由に決められます。

どの部分がサブドメインか?

3つ目のスラッシュに近い部分がドメインで先頭の方はサブドメイン・・・
これ説明するのが難しいですね。キーボードを打つ手がしばらく止まってます。

なぜ難しいかと申しますと、ドメインって「.com」や「.jp」などの「.(ドット)」が1つのものと、「.co.jp」や「.ne.jp」や、今回の詐欺サイトでも使われている「.co.in」などのドットが2つあるものがあって、一概に「3つ目のスラッシュから前に数えて3つ目のドットまでがドメインで、それ以前はサブドメイン」と言った説明ができません。

前提としてドメインの種類(.comや.co.jpなど)をある程度頭にいれていただかないといけません。私らの職種の人間は、どこがドメインでどこがサブドメインかは、文字列を見れば判断できますが、全てのネットバンキングユーザーにそれを求めるのは酷な話です。

すべての銀行で.co.jpを使っていたら説明しやすいのですが、三菱東京UFJは.jpだったりします。

三菱東京UFJ銀行のログインページのURLは、
https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001
このようになっております。
3つ目のスラッシュ以降は真偽判定には関係ないので削除します。
//entry11.bk.mufg.jp/
この場合、ドメインは.mufg.jpで、サブドメインはentry11.bkです。

ドメインの種類もまちまちだし、やはり説明が難しいです。

銀行のログイン画面で「URLを確認してください。正しいURLは◯◯です。」と書いたところで、偽サイトで自分のドメインが正しいということを書いたら意味ないし・・・んー、フィッシング詐欺が減らないわけだ。

改善案

このままこの記事を終わらせたら全くの不毛記事になってしまいますので、1つだけ世の中を良くする改善案を。

改善策1

金融機関専用ドメイン(例えば .bank)を新設して、「3つ目のスラッシュの直前が.bankではないサイトは全て偽サイトです。ログイン情報を絶対に入力しないでください。」という啓蒙をしていくしかないかな。

お手紙を出す

ユーザーに各銀行から「正しいホームページのアドレスは◯◯です」という内容のお手紙を出したらいいと思います。


と、ドメインの正しい読み方について説明しようとした記事が二転三転し、何処に話を落としていいのかもわからず終了したいと思います。

そして、こんなこと言ったら元も子もないですが、正しいURLがわかって本物のサイトを使っても、マン・イン・ザ・ブラウザだと情報を盗まれてしまうので、もうどうしようもないです。怖いねインターネッツ。

今日のわかった 今日初めて知ったこと

フィッシング詐欺のフィッシングって魚釣りのFishingだと思ってましたが、正しくは「Phishing」らしいですね。偽サイトでユーザーを釣るからフィッシングだと思ってました。
でも調べてみたら語源は「Fishing」でした。


コメントを残す