ブラウザの鍵マークの確認はファーミング*1対策として有効である。偽のルート証明書がインストールされていなければ、鍵マークがないか、セキュリティ警告がでるので、アクセスしたサイトがファーミングサイトかどうかを見分けることができる。しかし、そのためには、本物のページがhttpsでなければならない。
銀行やクレジットカード会社、プロバイダなどのログインページがhttpsになっているか*2を調べてみたところ、38社中12社がhttpだった*3。
会社名・サービス名 | https | 備考 | |
---|---|---|---|
1 | みずほ銀行 | ○ | - |
2 | みずほコーポレート銀行 | ○ | - |
3 | 東京三菱銀行 | ○ | ポップアップウィンドウ |
4 | UFJ銀行 | ○ | ポップアップウィンドウ |
5 | 三井住友銀行 | ○ | - |
6 | りそな銀行 | ○ | ポップアップウィンドウ |
7 | 埼玉りそな銀行 | ○ | ポップアップウィンドウ |
8 | 新生銀行 | ○ | アドレスバーを隠し、右クリックを無効にしたポップアップウィンドウ |
9 | シティバンク | ○ | ポップアップウィンドウ |
10 | スルガ銀行 ソフトバンク支店 | ○ | IBM地銀ネットワークサービスを利用 ポップアップウィンドウ |
11 | スルガ銀行 ドリームダイレクト支店 | ○ | IBM地銀ネットワークサービスを利用 ポップアップウィンドウ |
12 | スルガ銀行 ソネット支店 | ○ | IBM地銀ネットワークサービスを利用 ポップアップウィンドウ |
13 | みずほ銀行 インターネット支店 | ○ | - |
14 | UFJ銀行 インターネット支店 | ○ | ポップアップウィンドウ |
15 | ジャパンネット銀行 | ○ | ポップアップウィンドウ |
16 | アイワイバンク銀行 | ○ | ポップアップウィンドウ |
17 | ソニー銀行 | ○ | ポップアップウィンドウ |
18 | イーバンク銀行 | ○ | ポップアップウィンドウ |
19 | DION | ○ | ブロードバンドエリア検索*4がhttp ポップアップウィンドウ |
20 | Yahoo! BB | × | httpsのログインページもあるが、デフォルトはhttp |
21 | So-net | ○ | - |
22 | DTI | × | - |
23 | AOL | ○ | ポップアップウィンドウ |
24 | @nifty | ○ | ポップアップウィンドウ |
25 | OCN | × | - |
26 | Excite | × | - |
27 | BIGLOBE | × | トップページのログインに失敗するとhttpsのログインページにジャンプ |
28 | hi-ho | ○ | ポップアップウィンドウ |
29 | POINT(TEPCOひかり) | × | ブロードエリア検索もhttp |
30 | シティカード | ○ | ポップアップウィンドウ |
31 | セゾンカード | × | - |
32 | JCB | × | - |
33 | NICOS | × | - |
34 | DC CARD | × | - |
35 | 三井住友VISAカード | × | - |
36 | ライフカード | × | - |
37 | イオンカード | × | - |
38 | アメリカンエキスプレス | ○ | - |
*1:ファーミングとは、マリシャスコードによるhostsファイルの書き換えやDNS IDスプーフィングやDNSキャッシュポイズニングなどの攻撃でDNS情報を書き換えることにより、ユーザを偽サイトへ誘導するオンライン詐欺の一種。最近では、スパイウェアやキーロガーなどを使って個人情報を収集し、悪用するものもファーミングと呼ばれることがある。フィッシングとは異なり、偽サイトに誘導するために大量の偽メールを送信し、偽のURLをクリックさせる必要がない。ファーミングはPharmingと綴り、farming(農業)をもじったもの。ファーミングを試みる人物はファーマー(Pharmer)と呼ばれる。
*2:パスワードを入力するページがhttpsになっているかどうかであって、フォームの送信先(FORM要素のaction属性)がhttpsかではない。フォームの送信先がhttpsなだけではファーミング対策としては不十分である。なぜなら、送信前のページが改ざんされてしまっている可能性があるからだ。
*3:2005年8月6日現在
*4:電話番号や郵便番号から、ADSLやFTTHのサービス提供可能エリアかどうかを確認するというもの