最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆セキュリティの根幹を揺るがす証明書問題、デルは削除ツールを公開(2015/11/27) | メイン | ◆メールで誘導するオンラインバンキングのフィッシング再襲、被害発生(2015/12/01) »

2015/11/30

◆マイナンバー公式サイトの検索に注意、検索結果上位に無関係サイト(2015/11/30)

 マイナンバーの「通知カード」の配送が進められている。同封されたパンフレットには、インターネット上の公式サイトにアクセスする方法が記載されているが、検索して公式サイトに行く方法は、危険を伴うので注意したい。

 一人ひとりに割り当てられたマイナンバー(個人番号)を知らせる「通知カード」と「個人番号カード交付申請書」を同封した簡易書留は、今月25日までに全ての自治体で郵便局への差出しが完了した。配達状況は郵便局ごとに異なり、気象条件や地域事情などにも左右されるが、おおむね20日程度で届くという。

■「検索して公式サイトにアクセスする」方法の問題点

 この簡易書留には、「マイナンバー(個人番号)のお知らせ 個人番号カード交付申請のご案内」という7ページのパンフレットが同封されており、その中では、検索して公式サイトにアクセスする方法が紹介されている。検索に利用するサイトはユーザーごとに異なり、検索結果は、利用する検索サイトや検索するタイミング、設定やユーザーの嗜好などに左右される。パンフレットに記載された検索用のキーワードで、目的の公式サイトが真っ先に表示されるとは限らないのだ。

 特に注意したいのが、検索したキーワードに連動する広告が優先的に表示される点だ。人気の高いキーワードの検索結果の上部には、たいていの場合広告が表示される。クリックすると、目的の公式サイトとは無関係なサイトに誘導されてしまう。

 パンフレットにある「マイナンバー」と「個人番号カード 申請」を実際に13サイトで検索してみたところ、目的の公式サイトが筆頭に出て来たのは、「個人番号カード 申請」をGoogleで検索した場合だけだった(27日昼時点のWindows 7&Firefox)。

■フィッシングサイトや攻撃サイトを開いてしまう危険

 検索結果から想定外のサイトにアクセスした結果、行政の相談窓口だと思っていたら料金を請求されたという事例が再三報告されている。ほかにも、個人情報などを騙し取る公式サイトそっくりの偽サイトに誘導するフィッシングや、マルウェア(ウイルス)に感染させる攻撃サイトを開いてしまったケースもある。

 公式サイトへのアクセスに検索を利用する場合には、上位に目的のサイトが表示されるとは限らないので、注意していただきたい。パンフレットの6ページに記載されている確認用のURLを入力するか、「通知カード」に印刷されたQRコードを使ってアクセスすることをお勧めする。

■URLの確認はhttps(SSL/TSL)接続が大前提

 このパンフレットでは、申請用WEBサイトにアクセス後、そのURLが「https://www.kojinbango-card.go.jp」であることを確認することで、サイトが真正であることが確認できるとしている。この時、最も重要となるのが、アドレスバーに表示されたURLの先頭が「https:」で始まっている点だ。大抵のブラウザは、錠前マークや運営者の名前(個人番号総合サイトの場合は「Japan Agency for Local Authority Information Systems」)も表示するので、容易に識別できるだろう。

 「https:」で始まるURLに正常に接続している場合には、その後に続くホスト名やドメイン名が正しいことが保証される。それ以外場合(「http:」で始まる場合や、「://」までが省略されている場合など)は、その後に続くホスト名やドメイン名が正しくても、本物のサイトに接続しているとは限らいない。

 ブラウザがWebサイトにアクセスする際には、URLのホスト名をDNSサーバーなどに問い合わせてIPアドレスに変換し、このIPアドレスを使って接続する。この時、偽のサーバーのIPアドレスを掴まされると、アドレスバーの表示は正しいが接続先は偽物という困った状態になってしまう。これを識別できるのが、https接続(SSL/TSL接続)だ。

 https接続では、接続先のサーバーが自分の証明書を提示する。この証明書には、サーバーのホスト名やドメイン名が必ず記載されており、ブラウザがそれを自動的にチェックし、URLのものと異なる場合には、警告を表示して接続を中止するようになっている。証明書の記載事項は、第三者機関が事前に審査しているので、証明書が盗まれたり不正に発行されたりしない限り(どちらも稀にあるが)、正しい名前を記載した証明書は、正規の運営者しか持っていない。証明書とURLの名前を比較してはじめて、URLどおりのサイトに接続していることが確かめられる。URLの確認は、httpsで接続していることが大前提なのだ。

 ちなみに次のような場合には、正しいURLで偽のサーバーに接続してしまう可能性がある。マルウェア感染、自身で管理していないWi-Fiスポットやプロキシサーバーなどの利用時には、くれぐれも注意していただきたい。

・パソコン内のhstsファイル(名前とIPアドレスの対応表)を書き換えられる
・不正なDNSサーバーを参照するように設定を変更される
・参照先のDNSサーバーの情報が書き換えられた
・中継サーバーを経由した接続

(2015/11/30 ネットセキュリティニュース)

【関連URL】
・個人番号カード総合サイト(公式サイト)
https://www.kojinbango-card.go.jp/

投稿情報: 11:20 |

|