2012年3月31日土曜日

同窓会サービスのセキュリティ問題

前職の会社から同窓会ネットワークへの招待メールが届いた。退職はしたものの本当に素晴らしい会社・同僚・文化だと思っているので、同窓会に招待してもらったは大変うれしい。うれしいのだが・・・。

これが招待メール。社名と私の個人情報に関わる箇所は赤でマスクした。

"Alumni Network website" リンクをクリックすると、secure.imodules.com というサイトが開き、名前と旧従業員番号の入力を求められる。

問題は、このメールにもそのサイトにも、前職の会社(以下 G)との関係を証明するものが何もないということだ。メールやサイトのデザインは、見る人が見れば G 社のものだとすぐに分かるが、こういうものはほぼコスト0で完全にコピーできる。
サイト自体にはサイト証明書がついていて、Imodules Software Inc. という会社が運営していることがわかる。この会社が同窓会サービスを請け負ってるんだと思うが、そんな話は在職時には聞いたことがないので、Imodules Software に個人情報を渡していいのかどうか判断できない。

「あなたの従業員ナンバーを入力する必要があります」と書いてある。私の ID 確認も結構だが、そっちの(サービスの) ID も確認させてくれと言いたい。

私が退職したことや私の前職を知ってる人はそれなりにいるので、このタイミングでこういう phishing を仕掛けてるのはありそうな話だ。

まぁそうはいっても、私はこのサイトに登録することになるだろうと思う。前職の人とのネットワークは重要だし、(証拠は何も無いが)これが phishing であることはない「気がする」。G 社に電話して「これ本物ですか?」と聞くのもめんどうだ。

しかし、これこそが悪意の無い insecure なサービスによる最大の害であって、こういう経験を積むことで「セキュリティ、セキュリティって言ってるけど、そんなうるさいこと言わなくても全然問題ないよね」と感覚が麻痺して、いつの日か本当の詐欺にあうことになる。そういうユーザーを増やすことに加担している。

そもそもこれをセキュアにするのは難しい話ではない。G 社のサイト証明書つきのウェブサーバに「G 社は同窓会サービスを Imodules Software Inc. に委託しています。下のリンクをクリックすると Imodules Software Inc. のサイトにジャンプします」というページを用意し、招待メールからこのページにリンクすれば良い。
そうすれば、(G 社のサイトが不正に改竄されていない限り)Imodules の同窓会サービスの正当性を確認できる。

なんてことをここに書かずに、G 社に言うべきなんだろうけど。同窓会サービスに関するコンタクトを見つけたからメールするべきなのか? それもなぁ・・・。

0 件のコメント:

コメントを投稿