アキバBlogの「IEだとURLが偽装される脆弱性を体験できるサンプルサイト」によると、セキュリティベンダーSecuniaが公開した脆弱性の実証ぺージというものがあるそうだ。IEでその中のリンクをクリックすると、本物と同じURLに偽装した偽者のページが呼び出される。
Yahoo!Japanのフィッシングサイトで使われたURL偽装もこのIEのクロスサイトスクリプティングの脆弱性だ。通常フィッシングサイトを見破るには、URLを見ればいいとされてきたが、本物と同じURLに偽装してあるので見破ることは出来ない。気をつけるとすれば、この脆弱性を仕込んだ、あやしいホームページやHTMLメールなどから本物のサイトと偽ったリンクをクリックしないことだろう。
ところで今のところ、クロスサイトスクリプティングの脆弱性を使ったネット証券のフィッシングサイトは見つかっていない。私が知らないだけかもしれないが。以前の記事で、"http://wwwkabu.com"というURLが松井証券のホームページになっているというコメントがあった。今のところ、そのページのフレーム中に松井証券のホームページを出しているだけで、個人情報を別のところで読み取っているような仕掛けはなかった。ただ、いつか突然フレームの内部がフィッシングサイトに切り替わる可能性も否定できないので注意した方がいい。
■各社のフィッシングへの注意喚起
松井証券 「フィッシング詐欺」にご注意ください
マネックス証券 「フィッシング詐欺」について
イー・トレード証券 「フィッシング詐欺」にご注意ください
■関連記事
・マネックス証券も「フィッシング詐欺」の注意を喚起
・松井証券 「フィッシング詐欺」の注意を再度喚起
・松井証券 フィッシングサイトに対する注意を喚起
ところで今のところ、クロスサイトスクリプティングの脆弱性を使ったネット証券のフィッシングサイトは見つかっていない。私が知らないだけかもしれないが。以前の記事で、"http://wwwkabu.com"というURLが松井証券のホームページになっているというコメントがあった。今のところ、そのページのフレーム中に松井証券のホームページを出しているだけで、個人情報を別のところで読み取っているような仕掛けはなかった。ただ、いつか突然フレームの内部がフィッシングサイトに切り替わる可能性も否定できないので注意した方がいい。
■各社のフィッシングへの注意喚起
松井証券 「フィッシング詐欺」にご注意ください
マネックス証券 「フィッシング詐欺」について
イー・トレード証券 「フィッシング詐欺」にご注意ください
■関連記事
・マネックス証券も「フィッシング詐欺」の注意を喚起
・松井証券 「フィッシング詐欺」の注意を再度喚起
・松井証券 フィッシングサイトに対する注意を喚起
