パスワードを忘れた? アカウント作成
195775 story
インターネット

VeriSign 謹製 phishing サイト判別クイズ、あなたは正答できるか 47

ストーリー by reo
そういうオチです 部門より

ある Anonymous Coward 曰く、

SSL サーバ証明書の発行元としてなぜか抜群のシェアを誇っている米 VeriSigin 社が、「フィッシングサイトとそうでないサイトを区別できますか?」なるクイズを出題している (日本語版の他に英語版中国語版フランス語版ドイツ語版イタリア語版など) 。

全部で 10 問。あなたは全問正解できるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by stehan (37041) on 2010年02月18日 23時00分 (#1720543) 日記

    日本語は https://www.phish-no-phish.com/jp/ [phish-no-phish.com] ですね。
    最初の「お客様の情報をご提供ください」で既にテストが始まってるのかと身構えちゃいました。

    それはさておき一問目から "Bizy Bank" のドメインが "bijiibank.co.jp" なのに本物といってたり、偽物の根拠がエラーを表示してるからだったりと、かなり無理があります。さすが宣伝サイト。
    フィッシングサイトがどれほど本物にそっくりか、実際に見て比べられる例として両親にも見せてやりたいと思う一方、あまりにアレな解説に誤解と過信を植え付けられても困るし、どうしたものでしょうか。

    • by kicchy (4711) on 2010年02月23日 12時26分 (#1722578)

      そこで、年齢とかを入力したらアウト。
      リンク先の見えないFlash内のリンクを踏んでもアウト。

      正直、この時点で/.-jpの釣りかと思った。

      # いくら、後半のオチのためとはいえ、ちょっとなぁ、と
      # まぁ、いくら見た目を疑っても偽装できることがあるんだよってのはともかく
      # せめてURLへの細工で前半を引っ張らないと・・・

      親コメント
      • by Anonymous Coward

        > リンク先の見えないFlash内のリンクを踏んでもアウト。
        ステータスバーのURLはスクリプト無効でも偽装できるのでそもそもアテにしてはいけません。SafariやChromeは常時表示されるステータスバーをすでに廃止しました。Firefox 4.0でも廃止される予定です。
        URLを確認する必要があるときは、必ず遷移してから現在のページのURLをアドレスバーで確認しなければいけません。

    • by Anonymous Coward on 2010年02月23日 15時35分 (#1722731)

      ちなみにその初っ端のアンケート、答えなくとも先に進めます。たぶん答えたら負け。

      ところでGoogle Chromeでアクセスするとこのページには安全でない項目が含まれていますと言う警告が出て、アドレスバーがSSL接続中のカラーにならないのですが、エラーが出ているから偽物なら、このサイトも偽物という判断でよろしいのでしょうか?

      親コメント
    • このサイト自体の証明書がVerySignとかになって...無いな(笑

      • by Anonymous Coward

        先生、あからさまに釣り針がたれてるので釣る気満々だと思います…

    • by Anonymous Coward
      bizy bankですが,一問目からこれではとても酷いですね. 私はアドレスバーを見て「エッ」っと思い,本気で悩みましたよ.くそー.
  • こんなサイトに注意 (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2010年02月23日 12時07分 (#1722553)

    全面Flash。Windows/IEユーザーだけ釣れれば十分だし。
    [phish-no-phish.com]
    日本語サイトなのに漢字のフォントがなぜか中国系(之繞とか言偏とか齢とか様とか覧とか糸偏とかに注目)。
    [phish-no-phish.com]
    意味もなく個人情報を尋ねてくる。
    [phish-no-phish.com]
    ドメインが怪しい(VeriSign Japanがcopyrightを主張しているのにverisign.co.jpじゃないとか)。
    [phish-no-phish.com]

    こんなに怪しくてもひと目でVeriSignのサイトだとわかるなんてEV SSLの威力は絶大ですね (棒読み

    • by Anonymous Coward

      3問目。
      スペルミスがあるから左がNGっていうけど
      他方は「2.カード情報のご入力」が画面上の他の文字とフォント違うじゃねーかよ、と
      その1問だけ正解できなかったので愚痴を言ってみるテスト

  • 年齢 (スコア:2, おもしろおかしい)

    by youichi (329) on 2010年02月23日 12時47分 (#1722605)

    年齢の選択が、
    ・0~18
    ・18~25
    ・25~35
    ・35~45
    ・45~55
    ・55~
    になってますが、18,25,35,45,55歳の人はどれを選ぶんでしょうかね。

    • by Anonymous Coward

      選んだら負けです。
      第3問でも言ってるじゃないですか。偽物のサイトにはよく探すとこういう間違いが見つかることがありますって。第1問では不安を煽って(「よくできたフィッシングサイトは本物とまったく区別が付かないことがあります」とか)個人情報の入力を促すとも言ってたような。
      もう調べれば調べるほど、違った意味でも釣りサイトだとしか思えなくなってきますね。

    • by Anonymous Coward

      >> 18,25,35,45,55歳の人はどれを選ぶんでしょうかね。

      通常,「18歳」は「生まれてから18年以上,19年未満」の状態なので「18~25」が正解では?

    • by Anonymous Coward
      35歳の女性は25~35をお選びください。

      弊社は安心と信頼を第一に考えております。
  • by takustaqu (30389) on 2010年02月23日 13時01分 (#1722624)
    >なぜか抜群のシェアを誇っている米 VeriSigin 社
    ヴェリ詩吟社ですか。これまた大したフィッシングですな。
    --
    喫茶店でもマルチモニタ協会会員
  • by cactus (20557) on 2010年02月23日 13時26分 (#1722643)
    謹製の使い方がナンタラカンタラ >題名
  • by Anonymous Coward on 2010年02月23日 16時25分 (#1722755)
    タレコミ人の垂らした釣り針にひっかるわけには・・・

    #そういうフィッシングじゃないって?
  • 今でもそうなのかと思い、2.9.3を落としてみましたが変わっていませんでした。
    Sleipnirは、SSLのページの場合アドレスバーを緑で表示します。
    SSLとEV SSLとの区別ができないのに、EV SSL対応ソフトに見えてしまい困ったものです。

    フォーラムに問題として挙げられていて、開発者の返答もあるのに未だに直ってません。
    http://community.tabbrowser.jp/forum/viewtopic.php?t=3943 [tabbrowser.jp]
    VeriSignは、SleipnirがEV SSLに対応してないことを周知すべきです。
    ヨーロッパのブラウザ選択画面の中にも入ってるわけだし。

    • by Anonymous Coward

      > 貴重なご意見ありがとうございます
      黙殺するときの常套句ですね。
      直接相手にしてものれんに腕押しで時間の無駄だと思うので、IPAに届け出てはいかがでしょうか。脆弱性として受理されるとは限りませんが、受理されなくても開発者に連絡してくれることもあるそうです。

  • by Anonymous Coward on 2010年02月23日 12時06分 (#1722552)
    flashで先に進めない
    何が書いてあるんだろう?
  • by Anonymous Coward on 2010年02月23日 12時24分 (#1722574)
    とりあえず全問正解して来ましたよっと。

    必死こいて間違い探し→EVSSLあれば簡単に見分けられるよ!という
    なんといいますか…。上役の説得とかに使えたりするのでしょうか。

    これ正解するまでの時間とかブラウザとかの正解率との相関とかも
    見てたりするのかなぁ。
    • by Anonymous Coward on 2010年02月23日 12時49分 (#1722609)
      5問めの正解、不正解の根拠ってなんでしょうか?
      親コメント
      • VeriSign が、そう決めたからです。
        多分、ハイフンが入っているドメイン名では、VeriSign の証明を取ることができないようになっているのでしょう。←ウソ :P

        ちなみに、JPRS [whois.jp] の見解によれば trustedbank.co.jp も trusted-bank.co.jp も存在しません。

        親コメント
        • https://www.phish-no-phish.com/jp/ [phish-no-phish.com]
          もハイフンが入っているので不正なドメインに見えてきました。
          EV SSLも信用してはいけないっていう例ですよね?

          親コメント
          • by Anonymous Coward

            そもそもVeriSignの解説では「ハイフンが入ってるから偽物」なんて一言も言ってませんよ。本物のドメインがどちらだか分からない架空のドメインを例にとっている時点で問題自体がナンセンスですが。まさに「出題者(VeriSign)がそう決めたから」としか言いようがありません。

            EV SSLでは基本的にドメインを見る必要はないということになっています。アドレスバーからドメイン部分を正確に見分けられるのはよく訓練されたgeekだけであって、EV SSLはその問題の対策でもあるからです。
            ただし、ドメインを細かく分ければ分けるほどVeriSignは儲かります。宣伝には違いないのです。

          • by Anonymous Coward
            逆にSiteFinderの企業を信用できる理由が知りたい
      • by Anonymous Coward
        あなたの運です

        #EV SSLって占いまでできる。本当にすごいですねぇ
      • by Anonymous Coward

        URL です。

        正しい URL さえ知っていれば簡単に見破れるし、知らなかったら SSL でも意味ないよ、という説明さえあれば良い教材になったのだが。EV SSL だって表示される企業名はチェックすべきなのに。

    • みんなが最後までやって、はい宣伝、宣伝、とやってくれるならいいんですが、変な誤解を与える設問があるのはどうかと。「スペルミスが多い方が怪しい」なんてのは、「わざわざVeriSignに教わらなくてもみんな何となくそんなイメージを持ってる」→「そのイメージに頼るのは危険なので注意しよう」とむしろ逆方向に引っ張るべきだし。

      # 重箱の隅つっこみだけど、犯罪者は絶対にEVSSLを取れません、ってことは
      # 大企業が脱税とかの犯罪を犯したら取り消されるのかな>EVSSL
      親コメント
    • by Anonymous Coward
      5問めまでフィッシングサイトのほうを選択させてたのに、6問目から本物サイトのほうを選ばせるようになっているところで間違えたよorz

      #問題はちゃんと読みましょう。
  • by Anonymous Coward on 2010年02月23日 12時54分 (#1722616)
    アドレスバーが緑になれば、必ず安全って発想でいいのだろうか?
    緑になっても、危ない場合がある可能性はないのかな?
    青信号でも安全確認を怠ってはいけないと、交通安全教室では言ってるぞ。
    • まさに高木先生が指摘していたところですね
      http://takagi-hiromitsu.jp/diary/20080703.html [takagi-hiromitsu.jp]
      http://takagi-hiromitsu.jp/diary/20090627.html [takagi-hiromitsu.jp]
      親コメント
      • by Anonymous Coward

        去年の5月時点で↓を書ける高木先生の先読み能力が恐ろしいです。
        http://takagi-hiromitsu.jp/diary/20090531.html [takagi-hiromitsu.jp]
        > 一方、「Allow requests from example.jp」は滅多に使わない方がよい。これを許可してしまうと、そのサイトが改竄されたときに対策がパアになる。面倒でも、個別に「Allow requests from example.jp to example.com」でひとつひとつ許可して使う。そうすれば、攻撃者がexample.jpを改竄したとしても、example.comも同時に改竄しない限りこの対策はパアにならない。

        • by Anonymous Coward
          上の話とどういう関係が??
    • by Anonymous Coward
      社会性とか抜きにビジネスベースで言えば
      「現時点で比較的安全性が高い」だけで
      十分な優位性があるでしょう

      EV-SSLの信頼性が揺らいで来たら
      次の商売を考えるだけだと思います

      セキュリティのいたちごっこの被害者は利用者であり
      死の商人よろしくそれを飯のタネする者にとっては
      (望ましいと言わないまでも)悪い状況ではないのでしょう

      # 分かっていても対処せざるを得ないので困る・・・
    • by Anonymous Coward
      > アドレスバーが緑になれば、必ず安全って発想でいいのだろうか?
      いいわけないでしょう。自立した一人前の人としては。

      赤信号をわたるのも、青信号をわたるのも同様に注意する必要があると思います。
      轢かれたときの世間の同情は違うでしょうから、轢かれるかどうかよりも
      世間の反応の方が気になるって人は、赤信号は車がいなくても渡らない
      青信号は左右を見ないで渡るっていうポリシーでも良いかもしれませんが。
  • by Anonymous Coward on 2010年02月23日 13時28分 (#1722645)

    URL部分の下地の緑色を確認するだけで良いこの仕様が仮に普及したとして、オートマチックトランスミッション仕様の乗用車の利便性を理由とした無闇やたらな普及と掛け合わせてみる。

    その心は

    どちらも消費者の判断力を削ぎ脳みそを退化させる効果がある。

    SSLが用いられていれば安心、という考え方が崩れてしまい次の手を打ってきたのだと思いますが、紹介の仕方がちょっと安易な気もします。詐欺する人がこの緑色を手に入れたらどうするつもりなのだろうとか心配してみたり。

    • by Anonymous Coward

      実際、アドレスの右に出る企業名が、EVSLLに登録されてる名前だというだけなので、
      ペーパーカンパニー作ってEVSSL取れば、いくらでも緑色のフィッシングサイト作れます。
      表示されるカンパニーネームを確認しなければ意味が無いし、そのためには正しい登録名をまえもって知る必要があるし・・・
      とにかく、緑色だから信用できます!なんてウソには騙されないでください。

      #きっとしばらくしたら「ウソでした~」って釣り宣言が・・・でないだろうな
      #というかphishingは釣りって意味じゃないけど釣り針がたくさんあったなぁ

  • by Anonymous Coward on 2010年02月23日 13時53分 (#1722656)
    ふむふむ、少しだけ勉強になったので一つ作ってみよう。

    まさか騙される人はいないと思うけど。
  • by Anonymous Coward on 2010年02月24日 7時43分 (#1723016)
    「フィッシングサイトとそうでないサイトを区別できるか」
    って、できるわけがないでしょう。できるのは、

    「本物サイトとそうでないサイトの区別」

    です。
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...