「米国で流行中の“フィッシング”は国内でも流行するだろう。フィッシングの被害を防ぐためには,ユーザーが注意するばかりではなくサイト運営者も注意が必要だ」――。テックスタイルの代表取締役CEOであり,Web Application Securityフォーラムのアドバイザリボードである岡田良太郎氏は7月8日,「情報セキュリティEXPO」のセミナーにおいて注意を呼びかけた(関連記事)。以下,同氏の発言の一部をまとめた。
フィッシングに名前を使われないようにするには,フィッシング・サイトを作りにくくしておくことが重要である。具体的には,「ポップアップ・ウインドウを使わない」「アドレス・バーを隠さない」「フレームを使わない」――こと。例えば,いつもアドレス・バーを隠しているサイトでは,アドレス・バーが表示されないことにユーザーが慣れてしまう。その結果,アドレス・バーを隠したフィッシング・サイトに誘導されても「いつものこと」だと思って怪しむことなくだまされる。
外部業者のドメインを使わないことも重要だ。アクセス・トラッキングやキャンペーンに外部業者のサイトを使う場合が少なくないようだが,ユーザーには,そのサイトが正規のサイトなのか,フィッシング・サイトなのか分からない。その企業の公式ドメインを頻繁に変えないことも大切だ。
慎重なサイト作りをしている企業では,以前からポップアップ・ウインドウやフレームを使っていない。そういった企業のサイトは,フィッシングに名前を使われる可能性は小さい。正規のサイトに似せたフィッシング・サイトを作りやすいサイト,正規のサイトなのかフィッシング・サイトなのか判別しにくいサイトが,まずは名前を使われるだろう。
フィッシングに名前を使われると,サイト運営者も巻き込まれることになる。「フィッシングに利用されないように対策を施していたかどうか」を説明する責任を負う。フィッシングに名前を使われることが多い米国のある有名企業は,フィッシングに利用されにくいサイトに変更する作業に追われていると聞く。国内で大流行する前に,ユーザーばかりではなく,サイト運営者もフィッシングに備える必要がある。
(勝村 幸博=IT Pro)
