F.Ko-Jiの「一秒後は未来」

Yahoo!がOpenIDの発行を開始したのでフィッシングについて考えてみる

Yahoo!がOpenIDの発行を開始したことで、OpenIDに対応するサイトが増えてくるのは確実なんだろう。

最近はOpenIDや認証APIを利用するサービスが増えてきていて、それらのサイトではYahoo!やlivedoorやはてなのIDでログインすることができる。

ログインする際にはID発行元のサイトのログイン画面が表示されるようになっているので、悪い人はそこに目をつけてフィッシング詐欺のサイトを立ち上げるんじゃないかと思う。

フィッシングの流れは、OpenIDとフィッシング – Yet Another Hackadelicに紹介されている。

1. ユーザーは悪意のあるRP(Consumer)サイトに行くとOpenIDっぽぃログインフォームがある
2. ユーザーはそのログインフォームに自分のIdentifier URLを入力
3. 悪意のあるRPはユーザーのOP(IdP)に良く似たFake OPにリダイレクトさせる
4. Fake OPはユーザーにユーザー名とパスワードを求める
5. ユーザーはいつものOPとの違いに気づかずパスワード入れちゃう
6. Fake OPはユーザーのアカウント情報を入手出来る

おそらくフィッシングに引っかかってしまうようなユーザは、そもそもOpenIDを理解できないからOpenIDを使う可能性はまだ少ないだろう。

しかし、今後ますます多くのサイトでOpenIDや認証APIが使われるようになると、Yahoo!以外のサイトでYahoo!のログイン画面が表示されることが当たり前となり、フィッシングしやすい環境が整ってくることになる。

ユーザが心がけておかなければいけないことは何だろう。「正体不明なサイトにはログインしない」ということか。サイトを提供する側も確実に身元を明かしてユーザに信頼されなければならないだろう。

Yahoo!は以前からフィッシング対策としてログイン画面に「ログインシール」を設定するように勧めているが、一体どれくらいのユーザが危険を認識して設定しているのだろうか。

そういう危険性はあるけれど、OpenIDや認証APIが増えるのはサービスを作る側としてはありがたいことなので、ユーザに対しては危険性と利便性の両方をアピールしていかないといけないと思う。

  1. 匿名 より:

    その為のホワイトリストかと思ったけど,ユーザがパスワード打った時点で終わりか・・・

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

著者について

fkoji

F.Ko-Ji

Webエンジニアやってます。最近は ドットインストール の開発がお仕事です。その傍ら、個人で Meity電車遅延なう梅酒.in#グラドル自画撮り部 の部室といったネットサービスを開発・運営してます。梅酒と草野球とリアル脱出ゲームが好きです。

» 詳しいプロフィールや運営サービスの一覧など