XSS(クロス・サイト・スクリプティング)の危険性については以前から言われたいたことですが、近頃話題の「フィッシング詐欺」はここのところが非常に重要なことなのですね。だいぶ前から危険だから切るようにといわれ続けていながら未だにこの技術が多用されているのは、利用者の無知とサイト構築側の怠慢だと思うのですが。
フィッシング詐欺の詳細に関して高木浩光さんが詳細に、とても分かり易く説明なさっています。これはインターネットとメールを利用する全ての人にとって非常に重要な問題だと思うので、興味のあるなしにかかわらず、目を通す事をお勧めします。
・・・こんなことされたら普通は気が付きませんよ。
いやホント、ヤバイなあ、、、 これ読んだら自身喪失ですよ。 うーん、前提段階として「メールでの通知」という事があるので、疑わしい内容のメールはサイトのTopページから情報を辿る事でその真偽を確かめる、という事をコツコツとやっていくのが一番でしょうね。 実際に私もそういったアクセスの仕方を普段からしていますけれど、階層が深すぎて辿っていくのが面倒になる事がたまにあるんですよね。 あ、あと『アンケート』の類も要注意ですし、『メールマガジン購読者様限定特価!』等というのは危険な香りがしますね。高木浩光@自宅の日記 - ヤフーからの通知を装った日本語フィッシングで何が起きていたか, Yahoo! Mailのフィッシング事例から得られる教訓, 「メールで..ヤフーからの通知を装った日本語フィッシングで何が起きていたか先月の15日、ヤフージャパンのWebメールユーザをターゲットにした、 日本語フィッシング事件が起きているのが確認された。 そこでは、Yahoo! Mailのクロスサイトスクリプティング脆弱性 (XSS脆弱性)を突いて、偽メールと見破られにくくする手口が使われていた。 さらに驚くべき仕掛けも潜んでいた。
今後気を付けなくちゃ。
とにかく、高木さんの一連の解説は、読んでおいて絶対に損はないです。
参照:
“フィッシング詐欺”にご注意 - [インターネットセキュリティ]All About
「釣り」(fishing)ではありません。「Phishing」です