アカウント名:
パスワード:
このお知らせは、みずほ銀行の本物の案内なのか、怪しい偽サイトによる誘導なのかネット上で簡単に見分ける方法を教えて下さい!サイトに書いてある電話番号に電話したってダメですよ。
一応貼っておきますね。みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に | スラッシュドット・ジャパン セキュリティhttp://security.srad.jp/story/15/01/16/0345236/ [srad.jp]
このお知らせは、みずほ銀行の本物の案内なのか、怪しい偽サイトによる誘導なのかネット上で簡単に見分ける方法を教えて下さい! サイトに書いてある電話番号に電話したってダメですよ。
お答えしましょう。実は、裏ワザがあるのです。
http://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (HTTP)
にはアクセスできますが、"http" の部分を "https" に書き換えてみると……、
https://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (https/ EV証明書)
「目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/~」を「http://www.mizuhobank.co.jp/~」に修正し(httpsの”s”を削除)……」というエラーになってしまいます。
ここで裏ワザです。URL におまじないのパラメーター "?arege" (アージェと読みます、アレゲではありません) を付けると、https (EV証明書) でアクセスできるようになるのです。
https://www.mizuhobank.co.jp/direct/security/password_card/index.html?arege [mizuhobank.co.jp] (HTTPS / EV証明書) ← 試してみて下さい
凄いでしょう ^-^;;;
ちなみに、私がこのストーリーをタレこんだ時 [srad.jp] には、変なパラメータを付けて強引に https (EV証明書) で表示するリンクにしておいたのですが、hylom 氏に普通のリンクに書き換えられてしまったのですorz (まぁいつまで有効か分からないバッドノウハウですので仕方無いですが……)
この方法を使うと、お問い合わせ先の電話番号 [mizuhobank.co.jp] (https/ EV証明書) なども、信頼できない公衆Wi-Fiから安全に確認することができて大変便利です。
既にみずほ銀行の利用者ならキャッシュカードに書いてある電話番号に電話を掛けて問い合わせればいいんじゃないの。まあ、他に選択肢はいくらでもあるだろうに、何故わざわざみずほ銀行なんか使っているんだろうとは思うけど。
「ネット上で簡単に見分ける方法」の回答にはなってないけど、まあその通りです。ちなみに、法人の給与振込に対して手数料が安めに設定されていて、会社の指定銀行になってたりするんだそうな。
正しいかどうかはともかく、申し込みのためにはインターネットバンキングにログインするか、窓口に行くしかないわけだから、そこにあるリンクをクリックしない限りは実害がない。信用できないWebページやメールのリンクはクリックしないという、ごく初歩的な対応すればいいだけの話。
MITMによって申し込み方法が「郵送」に書き換えられたと同時に、それらしい偽の郵便物が届いた場合に、ネット上で簡単に信用たる情報が得られないのはまずいんじゃないかなー。郵便物に書いてあるURLにネットバンクのID/パスワード入れちゃったり、個人情報書いて郵便物として返送しちゃったり。
郵便物に書いてあるURLにネットバンクのID/パスワード入れちゃったり、個人情報書いて郵便物として返送しちゃったり。
ネット上に信用できる情報がなかったら、そういうことを書いて郵送しちゃうの?
まあ、そういうことをやっちゃう人が少なからずいるから、そういう人のとっての対策として信用できる情報をネットで得られるようにしておくべきという意見もあるかもしれないけど、そういう人たちが証明書が正しいかなんてチェックするとは思えんから、そういう人たちにとっては無意味。「ネットワークの障害のため、今回は証明書なしで情報を提供しています」とでも書いておけば、それで信用するよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
このお知らせは信用できるのか (スコア:1)
このお知らせは、みずほ銀行の本物の案内なのか、怪しい偽サイトによる誘導なのかネット上で簡単に見分ける方法を教えて下さい!
サイトに書いてある電話番号に電話したってダメですよ。
一応貼っておきますね。
みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に | スラッシュドット・ジャパン セキュリティ
http://security.srad.jp/story/15/01/16/0345236/ [srad.jp]
Re:このお知らせは信用できるのか (スコア:3)
お答えしましょう。実は、裏ワザがあるのです。
http://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (HTTP)
にはアクセスできますが、"http" の部分を "https" に書き換えてみると……、
https://www.mizuhobank.co.jp/direct/security/password_card/index.html [mizuhobank.co.jp] (https/ EV証明書)
「目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/~」を「http://www.mizuhobank.co.jp/~」に修正し(httpsの”s”を削除)……」というエラーになってしまいます。
ここで裏ワザです。URL におまじないのパラメーター "?arege" (アージェと読みます、アレゲではありません) を付けると、https (EV証明書) でアクセスできるようになるのです。
https://www.mizuhobank.co.jp/direct/security/password_card/index.html?arege [mizuhobank.co.jp] (HTTPS / EV証明書) ← 試してみて下さい
凄いでしょう ^-^;;;
ちなみに、私がこのストーリーをタレこんだ時 [srad.jp] には、変なパラメータを付けて強引に https (EV証明書) で表示するリンクにしておいたのですが、hylom 氏に普通のリンクに書き換えられてしまったのですorz (まぁいつまで有効か分からないバッドノウハウですので仕方無いですが……)
この方法を使うと、お問い合わせ先の電話番号 [mizuhobank.co.jp] (https/ EV証明書) なども、信頼できない公衆Wi-Fiから安全に確認することができて大変便利です。
Re: (スコア:0)
既にみずほ銀行の利用者ならキャッシュカードに書いてある電話番号に電話を掛けて問い合わせればいいんじゃないの。
まあ、他に選択肢はいくらでもあるだろうに、何故わざわざみずほ銀行なんか使っているんだろうとは思うけど。
Re: (スコア:0)
「ネット上で簡単に見分ける方法」の回答にはなってないけど、まあその通りです。
ちなみに、法人の給与振込に対して手数料が安めに設定されていて、会社の指定銀行になってたりするんだそうな。
Re: (スコア:0)
正しいかどうかはともかく、申し込みのためにはインターネットバンキングにログインするか、窓口に行くしかないわけだから、そこにあるリンクをクリックしない限りは実害がない。信用できないWebページやメールのリンクはクリックしないという、ごく初歩的な対応すればいいだけの話。
Re: (スコア:0)
MITMによって申し込み方法が「郵送」に書き換えられたと同時に、それらしい偽の郵便物が届いた場合に、
ネット上で簡単に信用たる情報が得られないのはまずいんじゃないかなー。
郵便物に書いてあるURLにネットバンクのID/パスワード入れちゃったり、個人情報書いて郵便物として返送しちゃったり。
Re: (スコア:0)
ネット上に信用できる情報がなかったら、そういうことを書いて郵送しちゃうの?
まあ、そういうことをやっちゃう人が少なからずいるから、そういう人のとっての対策として信用できる情報をネットで得られるようにしておくべきという意見もあるかもしれないけど、そういう人たちが証明書が正しいかなんてチェックするとは思えんから、そういう人たちにとっては無意味。「ネットワークの障害のため、今回は証明書なしで情報を提供しています」とでも書いておけば、それで信用するよ。