これが招待メール。社名と私の個人情報に関わる箇所は赤でマスクした。
問題は、このメールにもそのサイトにも、前職の会社(以下 G)との関係を証明するものが何もないということだ。メールやサイトのデザインは、見る人が見れば G 社のものだとすぐに分かるが、こういうものはほぼコスト0で完全にコピーできる。
サイト自体にはサイト証明書がついていて、Imodules Software Inc. という会社が運営していることがわかる。この会社が同窓会サービスを請け負ってるんだと思うが、そんな話は在職時には聞いたことがないので、Imodules Software に個人情報を渡していいのかどうか判断できない。
「あなたの従業員ナンバーを入力する必要があります」と書いてある。私の ID 確認も結構だが、そっちの(サービスの) ID も確認させてくれと言いたい。
私が退職したことや私の前職を知ってる人はそれなりにいるので、このタイミングでこういう phishing を仕掛けてるのはありそうな話だ。
まぁそうはいっても、私はこのサイトに登録することになるだろうと思う。前職の人とのネットワークは重要だし、(証拠は何も無いが)これが phishing であることはない「気がする」。G 社に電話して「これ本物ですか?」と聞くのもめんどうだ。
しかし、これこそが悪意の無い insecure なサービスによる最大の害であって、こういう経験を積むことで「セキュリティ、セキュリティって言ってるけど、そんなうるさいこと言わなくても全然問題ないよね」と感覚が麻痺して、いつの日か本当の詐欺にあうことになる。そういうユーザーを増やすことに加担している。
そもそもこれをセキュアにするのは難しい話ではない。G 社のサイト証明書つきのウェブサーバに「G 社は同窓会サービスを Imodules Software Inc. に委託しています。下のリンクをクリックすると Imodules Software Inc. のサイトにジャンプします」というページを用意し、招待メールからこのページにリンクすれば良い。
そうすれば、(G 社のサイトが不正に改竄されていない限り)Imodules の同窓会サービスの正当性を確認できる。
なんてことをここに書かずに、G 社に言うべきなんだろうけど。同窓会サービスに関するコンタクトを見つけたからメールするべきなのか? それもなぁ・・・。
0 件のコメント:
コメントを投稿