orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

日本郵便偽サイトに思う、インターネットにおけるキャンペーンサイトのあり方

f:id:orangeitems:20180404183934j:plain

 

偽サイトのニュース

日本郵便の偽サイト(フィッシングサイト)がニュースになっていますね。

 

www.itmedia.co.jp

 日本郵便を偽装し、「iPhone XかGalaxy S8を獲得するチャンス」などうたって個人情報やクレジットカード情報を詐取しようとする不審なサイトについて、トレンドマイクロが4月4日、解説するブログ記事を公開した。日本だけでなく世界の郵便事業社を偽装して同様な手口が展開されており、正規サイト上に表示される不正広告から不審サイトに誘導しているという。

画像を見る限りずさんな作りですが、ちょっとヒヤッとすることを思いついたので記事にします。

 

考察

このサイトを見てください。

春のスタートキャンペーン|かんぽ生命

f:id:orangeitems:20180404181136p:plain

 

こちら、本当のかんぽ生命のキャンペーンサイトです。

URLが、

https://kampo-campaign2018.jp

なんですが、似たようなドメインは簡単に取れると思います。

例えば、kanpocampaign2018.jpなら空いているとお名前.comで調べられました。

www.onamae.com

f:id:orangeitems:20180404185001p:plain

紛らわしくても、ドメイン名を取るのは自由ですからね。

 

それで、このサイトをそのままパクってしまえば、フィッシングサイトの出来上がりです。

ちなみに、このキャンペーンサイトもバッチリ個人情報を集めます。

f:id:orangeitems:20180404181624p:plain

 

しかも、下記の通り、このSSLサーバー証明書は「Domain Control Validated」となっているので、ドメインの所有者を確認することで認証を受けています。つまり、kanpo-campign2018.jpのドメインの持ち主を確認できれば認証を受けられます。

f:id:orangeitems:20180404182233p:plain

 

で、WHOISでこのドメインを調べると、

f:id:orangeitems:20180404182432p:plain

となっていて、かんぽ生命が持ち主のドメインではないわけです。つまり、NTTアドに委託してこのキャンペーンサイトを運営してもらっていると思うのですが、SSL証明書にしろドメインにしろ、NTTアドの配下です。

 

これって、フィッシングサイトを全く同じスキームで作れてしまうということにほかなりません。しかも、Whoisの情報は隠すことができます。

Whois情報公開代行|ドメイン取るならお名前.com

 

一見、SSL証明書も有効でHTTPSで、ドメイン名も公式っぽい。画像もきれい。それでどうやって、このサイトがかんぽ生命の公式なものと証明できるのでしょうか。実はできていないのです。かろうじて公式ホームページからリンクが貼られているだけマシと言えます。NTTアドがかんぽ生命から委託を受けている記載もないわけで。

 

整理しますね。

・SSL証明書は、ドメイン認証で「ある」。

knowledge.geotrust.com

・ドメインの持ち主は、キャンペーンサイトの主催会社では「ない」

・ドメイン名は、キャンペーンサイトの主催会社「ぽい」

もはや、フィッシングサイトの作りと全く同じなのです。

 

まとめ

正直言って、世の中のキャンペーンサイト全て、疑ってかかった方がいいと思います。SSL証明書には「ドメイン認証」と「企業認証」の2つがあって、企業認証であればSSL証明書を発行する会社が登記簿まで確認して実在性を確認しないと、証明書は発行されません。

jp.globalsign.com

企業認証のSSL証明書は、きちんと企業の登記されている場所がSSL証明書に記載されています。

f:id:orangeitems:20180404183421p:plain

ドメイン認証なら、ドメインのwhoisを確認して、その会社が存在すれば信用できます。

whois.jprs.jp

 

ということで、公式のキャンペーンサイトですらこのような作りなのですから基本的に何か入力するというのは相当リスクがあると思ってかかってください。かんぽ生命さんは、きちんと企業認証でSSL証明書を取り直したほうが良いと思います。

 

追記

私の言いたいことが下記でも警鐘されているので紹介しておきます。

rms-digicert.ne.jp

 

日本郵政のドメインは、ちゃんと日本郵政が持ち主です。。(そりゃそうだ)

このドメインで、ドメイン認証のSSL証明書ならまだわかる。

f:id:orangeitems:20180404191715p:plain