フィッシング対策 ウェブアプリ開発者篇

　皆さん、こんにちは。丸山満彦です。本日は、日経BPのセミナーにでていたのですが、編集者の方から、最近の代金未納通知詐欺では、「代金が未納」というお知らせとともに、「住民票が送られてくる」ようです。一緒にいた日本HPの佐藤さんが「それは、物理的な脅威にだよね・・・」とおっしゃっていましたがまさにその通りですね。住民票を取得できるところ（半径5Km程度）に犯人一味がいるということですから。さて（かなり強引ですが・・・）、本日は、フィッシング対策　ウェブアプリ開発者篇です。

　事業者も重要ですが、実際にアプリケーションを作る人がしっかりしていれば、事業者がうっかり忘れていても対応できますね。事業者もよく理解する必要がありますが、開発者もしっかり理解しておく必要がありますね。
　ウェブアプリ開発者篇といっても、基本的には事業者篇と同じです。つまり、「事業者篇を守ったウェブアプリケーションを開発者は作りましょう」ということになります。

 

[①入力画面の基本ルール]
1. 個人情報を入力させるウェブ画面、重要なお知らせを載せるウェブ画面ではSSLを使うように当たり前のように事業者にいう。
2. https:を利用していることがわかるように、必ずURLが見えるようにする。（フレームを利用してURLがどこかわからないようにしない。）

 

[②認証局を選ぶ際のポイント]
1. 信頼のおける認証局が発行している電子署名を利用する。
2. 信頼のおける認証局の選択のポイント
・インターネットエクスプローラには、マイクロソフトが信頼できる認証局として信じている認証局があらかじめ組み込まれているので、その認証局を利用する。
・できる限り登録手続に手間のかかる認証局を選ぶ（会社の登記簿謄本などを要求するのは当然と思うべき。時間がかかれば、手間がかかればよいというわけではないのですが、会社の登記簿謄本や登録している会社の実印を確認せずに会社のサーバの証明書を発行するのは疑問がありますね。フィッシング詐欺を防ぐという観点からは、「法人の存在確認」、「代表権限の確認」ができなくてはだめですよね。）
・財務基盤が安定している認証局を選ぶ（もし、財務基盤の安定性を確認できるのであれば）

 

[③その他]
サービスインする前に少なくとも次の脆弱性のチェックはしておく。できれば第三者にチェックするように事業者に依頼する（これが事実上難しいのを知っているのですが・・・）
　・サーバの脆弱性
　・その他、ファイアウォール、ルータ等の脆弱性
　・データベース等の脆弱性
　・クロスサイトスクリプティングなどの脆弱性

 

まだまだ精度が低いですので、皆さんのご意見を、心よりお待ちしています。