“正在美国流行的‘phishing’很可能会蔓延至日本国内。为免受phishing侵害,不仅用户要十分小心,网站运营者也要引起足够重视”。TechStyle首席执行官、Web Application Security论坛顾问冈田良太郎于7月8日在“信息安全EXPO”研讨会上发出了以上呼吁。
为避免被phishing冒名,最重要的是加大制作phishing网站的度难。具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。例如,对于总是隐藏地址栏的网页,用户们已经习惯了不显示地址栏。结果被误导到phishing网站上仍觉得“和平时一样”,一点儿也察觉不出被骗。
不使用外部运营商的域名也非常重要。尽管在访问调查与宣传中利用外部运营商网站的情况很少,但用户们却分不清外部运营商网站是正规网站还是phishing网站。因此,不要频繁更改企业的正式域名也是非常重要的。
非常慎重地制作了网页的企业,从一开始就不使用弹出式广告及框架。这类企业的网页被phishing冒充的可能性就很小。对于那些很容易被phishing网站仿冒的正规网站、以及很难区别是正规网站还是phishing网站,首先是网站名称容易被利用。
一旦网站名称被phishing利用的话,网站运营商也会被卷进去。因为他有义务解释清楚“是否采取对策避免被phishing利用”。据说在美国多次被仿冒的著名企业已经采取措施,更换成难以被phishing仿冒的网站。在phishing还没有泛滥之前,日本国内不仅是用户,网站运营商也要做好充分的防范准备。 |
「米国で流行中の“フィッシング”は国内でも流行するだろう。フィッシングの被害を防ぐためには,ユーザーが注意するばかりではなくサイト運営者も注意が必要だ」――。テックスタイルの代表取締役CEOであり,Web Application Securityフォーラムのアドバイザリボードである岡田良太郎氏は7月8日,「情報セキュリティEXPO」のセミナーにおいて注意を呼びかけた。以下,同氏の発言の一部をまとめた。
フィッシングに名前を使われないようにするには,フィッシング・サイトを作りにくくしておくことが重要である。具体的には,「ポップアップ・ウインドウを使わない」「アドレス・バーを隠さない」「フレームを使わない」――こと。例えば,いつもアドレス・バーを隠しているサイトでは,アドレス・バーが表示されないことにユーザーが慣れてしまう。その結果,アドレス・バーを隠したフィッシング・サイトに誘導されても「いつものこと」だと思って怪しむことなくだまされる。
外部業者のドメインを使わないことも重要だ。アクセス・トラッキングやキャンペーンに外部業者のサイトを使う場合が少ないようだが,ユーザーには,そのサイトが正規のサイトなのか,フィッシング・サイトなのか分からない。その企業の公式ドメインを頻繁に変えないことも大切だ。
慎重なサイト作りをしている企業では,以前からポップアップ・ウインドウやフレームを使っていない。そういった企業のサイトは,フィッシングに名前を使われる可能性は小さい。正規のサイトに似せたフィッシング・サイトを作りやすいサイト,正規のサイトなのかフィッシング・サイトなのか判別しにくいサイトが,まずは名前を使われるだろう。
フィッシングに名前を使われると,サイト運営者も巻き込まれることになる。「フィッシングに利用されないように対策を施していたかどうか」を説明する責任を負う。フィッシングに名前を使われることが多い米国のある有名企業は,フィッシングに利用されにくいサイトに変更する作業に追われていると聞く。国内で大流行する前に,ユーザーばかりではなく,サイト運営者もフィッシングに備える必要がある。 |