パスワードを忘れた? アカウント作成
12604270 story
インターネット

マイナンバー関連のWeb検索結果に表示される無関係なサイトや広告にご注意を 15

ストーリー by hylom
引っかかる人は多そうだ 部門より

マイナンバーでWeb検索を行うと、マイナンバーとは無関係なサイトが多く表示されるという話がセキュリティ通信で取り上げられている。

パンフレットにある「マイナンバー」と「個人番号カード 申請」を実際に13サイトで検索してみたところ、目的の公式サイトが筆頭に出て来たのは、「個人番号カード 申請」をGoogleで検索した場合だけだった(27日昼時点のWindows 7&Firefox)。

とのことで、想定外のサイトにアクセスした結果料金を請求されるという事例や、フィッシングサイトおよびマルウェアに感染させるサイトに誘導されることもあるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年12月02日 15時54分 (#2927215)

    とか書いてあるけど、検索サイトで上位に出てきたリンクを
    URLを確かめもせずにクリックするような人は
    httpだろうがhttpsだろうがどっちみちダメでしょう。

    httpsなら大丈夫とか間違った安心感を与えるだけ性質が悪い気がする。

    • 「URLの確認はhttps(SSL/TSL)接続が大前提」というより、適切に「URLの確認」をさせるのは、相手がある程度の技術的な知識が持っていない限り不可能なので、もう諦めた方が良いと思います。

      特に、スマホでネットを始めた人には適切な確認は全く期待できません。

      パンフレットに記載されていた確認方法の指示も不適切で、パンフレット [soumu.go.jp]の6ページ目(PDFの7ページ目)には、

      申請用 WEB サイトにアクセス後、その URL が「https://net.kojinbango-card.go.jp」であることを確認することで、サイトが真正であることを確認してください。

      とありますが、

      1. 検索で上位に表示される正規サイトのURLは「https://www.kojinbango-card.go.jp/kofushinse/」なので「https://net.kojinbango-card.go.jp」と完全一致しない
      2. 完全一致しないので「https://net.kojinbango-card.go.jp」で始まっていればOKと解釈すると、「https://net.kojinbango-card.go.jp.secure-server.example.com/kofushinse/」でも良いことになってしまう

      ので適切な説明ではありません。

      かといって、正しいURLの確認方法を書こうとすると、

      「申請用 WEB サイトにアクセス後、アドレスバーのURLが『https://net.kojinbango-card.go.jp』と完全に一致するか、アドレスバーのURLが『https://net.kojinbango-card.go.jp/』から始まる(最後のスラッシュが必ず必要)

      と長ったらしい説明になってしまうし、スマホだと横幅の関係でURLが省略表示されてしまって確認が困難という問題もあります。

      ってことで、三菱東京UFJ銀行のように、「URL」の存在に一切触れずに、EV証明書の確認だけさせるのが望ましいと思います。 [bk.mufg.jp]

      個人番号カード総合サイト [kojinbango-card.go.jp]も、きちんとEV証明書を(それも go.jp ドメインで)使っているようだし。

      httpsなら大丈夫とか間違った安心感を与えるだけ性質が悪い気がする。

      については、EV証明書(やOV証明書)と、単なるDV証明書の違いがもっと周知されるべきですね。

      技術的な観点からすると、DV証明書は公開鍵がそのドメインに属することを明白にしているに過ぎず、サイトのコンテンツの内容や運営者が誰であるかについては一切言及していません。

      DV証明書には、Webサイトの評価・現実世界における身元・安全性に関する情報は一切含まれていないのです。

      フィッシング詐欺やマルウェアとの戦いにおける認証局の役割 - Let's Encrypt 総合ポータル [letsencrypt.jp] より引用)

      と、DV証明書は単にドメインの所有者の公開鍵であることを認証しているだけなのですが、「HTTPS (TLS) なら認証局が身元を確認しているサイトだから安心」と勘違いしている人が未だに多いようです。

      (個人番号カード総合サイトはEV証明書です)

      親コメント
    • by Anonymous Coward

      ドヤ顔すごーい

    • by Anonymous Coward

      元記事ですが、httpsなら大丈夫とは書いていません。
      httpsなのは大前提で、その上で、

      そのURLが「https://www.kojinbango-card.go.jp」であることを確認することで、サイトが真正であることが確認できるとしている。

      と書いてあります。

    • by Anonymous Coward

      なんで確認しないのか不思議ですね。
        適当な住所指定して希望の場所につく
        適当な電話番号入れて希望の相手と会話する
      これが可能な人達なんでしょうかね?

      • by Anonymous Coward

        > 適当な住所指定して希望の場所につく
        >適当な電話番号入れて希望の相手と会話する
        大体これで何とかなるからでしょ
        郵便や宅配便は宛先がおかしいと連絡くるし
        電話も相手が間違っていたなら掛け直せばよいだけ

        URLを確認させるには、「URLとはなにか」から教える必要ありそうだね

  • 検索してトップに出るようにしたければ、Googleなどの検索サイトに広告料を払わないと。
    それもやらないで、ただ「検索してください」というのは無責任でしょう。
    • by Anonymous Coward

      まさにその通りだと思います。
      個人的にはbingの広告が兎に角アレな感じです。
      スラドに出入りするようなアレゲな輩ならまだしも、普通の人から見ると、広告も検索結果の一部でしかないので。

  • by Anonymous Coward on 2015年12月02日 16時20分 (#2927235)

    GoogleとYahooJapanとGooをみただけだが、
    「マイナンバー」で検索して上位に出てくるのは内閣官房と政府広報オンラインと総務省だし、
    実用上は問題がないようにおもう

    • by Anonymous Coward

      Bingでも確認しましたが、上位はすべてgo.jpドメインで、すべてマイナンバー関係のページですね。
      それに続いて地方自治体のマイナンバー関係のページが挙がっています。
      以前は違ったのだろうか。

  • by Anonymous Coward on 2015年12月02日 16時30分 (#2927247)

    放置して特に見てなかった「個人番号カード交付申請のご案内」というパンフレットのそこかしこに、

    公式サイト [マイナンバー   ]【検索】

    と、あたかも検索窓にマイナンバーと入れれば公式サイトが開くと言わんばかりの記述があるのね。
    普通に公式サイト以外がぽんぽんヒットするので、この記述は駄目なんじゃないだろうか。
    URL書きなさいよ。

  • by Anonymous Coward on 2015年12月02日 18時19分 (#2927334)

    > (27日昼時点のWindows 7&Firefox)。

    OSとブラウザが書いてあるのはなぜですか?
    検索結果ってOSとブラウザで差異があるのですか?(素朴な疑問です)
    過去の検索や訪れたサイトによって差異は出るようですが。

    • 検索結果ってOSとブラウザで差異があるのですか?(素朴な疑問です)

      Google の場合、Cookieを無効にした状態で(プライベート検索結果は無効となる)、かつ位置情報の送信を無効にしていて、パラメーターやオプションも同一(完全に同一URLの検索結果画面)であれば、PCの IE・Firefox・Chrome では全く同じ検索結果になるはずです。

      ただし、検索順位が不安定なことがあり、リロードの度に順位が入れ替わったり、Google サーバのIPアドレスによって(GoogleはDNSラウンドロビンその他で負荷分散してる)検索結果が異なったりする場合があります。

      なお、スマホからの検索の場合、スマホ向けサイトがかなり優先されるので、検索結果がPCからの検索と大きく異なります(これはGoogleが公式に認めていることです)。

      親コメント
  • by Anonymous Coward on 2015年12月02日 20時05分 (#2927418)

    セキュリティ通信編集部って何者だよ?

    so-net の公式らしいが blog の URL が so-net のブログサービスで提供されているものと同じだからその利用者が勝手に so-net のと称しているのと区別できないよ。プロフィール見ても so-net の公式だという明記は見当たらないし

  • by Anonymous Coward on 2015年12月03日 0時23分 (#2927559)

    希望ナンバー制度
    http://wwwtb.mlit.go.jp/tohoku/am/toroku/to03.htm [mlit.go.jp]
     『マイカー・マイナンバー、愛車に好きなナンバーを!
     お引っ越しでナンバーが変わるなどの機会にナンバーをつけてみませんか?』

    ひかり電話 追加番号サービス「マイナンバー」
    https://flets.com/hikaridenwa/service/mynumber.html [flets.com]
     『追加番号サービス「マイナンバー」とは、「ひかり電話の契約番号+追加4電話番号」で
     最大5つの電話番号を利用できるサービスです。』

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...