高まるウェブブラウザ偽装による被害をどう防ぐ？あえて自分での見極め放棄という手も

脆弱性対策情報ポータルサイト「JVN」より

　4月末以降、いくつかのウェブブラウザでアドレスバー部分が偽装される可能性があるという脆弱性が発表された。URLそのものが偽装される可能性があったのは、Android版の「jigbrowser+」などだ。このほかに、Windows向けの「Sleipnir for Windows」では、実際にはSSL通信をしていないサイトでSSLが使われているかのように偽装される恐れがあるというものだった。

　いずれもすぐに修正版がリリースされたため、きちんと最新版を利用していれば問題がないはずだが、まずは利用しているブラウザのバージョンアップがされていないかどうかをチェックしてみよう。

●アドレスバーの偽装は、フィッシングに悪用される

　アドレスバーが偽装されると何が危ないのかといえば、そのサイトが正しいものなのかどうかがわからなくなってしまう。つまり、フィッシング詐欺に利用されかねないという危険性が出てくる。

　フィッシング詐欺というと、メール等で「パスワードを再設定してもらうことになった」「ユーザーの再認証が必要になった」などと適当なことをいって偽サイトに誘導し、パスワード等を盗むというのが基本だ。この時に偽サイトであるかどうかを見破る方法として、アドレスバーのURLをチェックするというのは基本だ。しかし実は、今回の脆弱性に限らず、以前からアドレスバーを偽装するという方法があった。

　URLをチェックして、銀行やショッピングサイトの決済部分は必ずSSLになっているはずだから鍵マークをチェックする、というのはごく基本ではあるが、それだけでは信頼できるサイトかどうか見破れないのだということを、あらためて知っておいてほしい。

●偽物はどうやって見破る？

　URLすら当てにならないというならば、一体何を信頼すればよいのだろうか？

　一応、サイトの内容を見るというのは有効だ。いいかげんな詐欺なら、それで見破れることもある。しかし1ページ分の内容をコピーするのはとても簡単だ。

　1つの方法として、銀行のようなよく使う重要なサイトはブックマークしておき、メールでなんといわれようとブックマークからアクセスするという方法はある。もしパスワードの一斉変更を呼びかけるような大きな事態ならば、必ずトップページにそうした注釈が出るからだ。同じように、Google等で検索してみてもよいだろう。少なくとも、メール等に書かれたURLを直接クリックするのはお勧めしない。

　さらに手の込んだ詐欺師になると、もっといろいろなことを仕掛けてくるかもしれない。そうした詐欺に引っかからないために、自分で見極めることを諦めるというのもアリだろう。銀行等のパスワードを変更させる場合、普通は数日間の猶予を設ける。今すぐ設定しなければ何もかもがダメになってしまう、などということはない。

　さらに、何か事件が起こった場合や、大規模な話になればIT系のニュースサイト等でも取り上げられる。最近だとEvernoteが攻撃を受けて全ユーザーのパスワードをリセットしたが、この時もすぐに方々のニュースサイトで取り上げられた。こうした報道が出てから作業してもよいのだから、よくわからないまま作業してしまうのはやめておこう。

　そして、基本的な対策として、ブラウザ等は常に最新版にしておきたい。スマートフォンならば自動更新にチェックを入れておけばよいが、PC向けのブラウザでもそうした更新チェック機能があるものは積極活用しよう。もちろん、ある程度は自分で情報収集するのも忘れずに。
（文＝エースラッシュ）