JR西日本ホームページ 改ざんされフィッシング詐欺サイトに
コメント
注目のコメント
利用者はセキュリティソフトを入れるのが当たり前の時代でも、まだこういった犯罪があるってことに驚きです。
クレジットカードで購入する手段を提供する企業は、サイバーセキュリティ対策について予算を増やして人員強化しないと、国内のみならず海外から格好の穴場として狙われて続けてしまいますね。Googleのキャッシュを見る限り「パンダくろしお」特設ページは、pandakuroshio.jp というドメインです。クレジットカード情報を入力するようなメインサイトに相応しくないドメインなので、注意深い人ならフィッシングに気づけたでしょう。
JR西日本が開設しているWebページではありますが、JR西日本の「ホームページ」ではありませんので、見出しは不適切です。
自動車メーカーその他、大手企業は、新製品の紹介ページとか、キャンペーンページとかは、企業のホームページとは別にサーバーを立てることが多いです。その場合、短期勝負なので小回りのきく中小のWeb制作会社に発注することも多く、本体サイトと同等のセキュリティレベルが担保されない場合もあります。JR西も似たような経緯ではないでしょうか。
先日、私は、VWジャパンからキャンペーンメールをもらい、応募しようとしたら、認証ページが別ドメイン(OpenID認証のSaaSを提供する事業者のドメイン)になっていたので、念のため入力を止めました。おそらくメール自体は本物だったと思いますが、ユーザーがVWのドメインでないことに不安を覚えるだろうという想像力が欠如していることは、セキュリティーにあまり気を配っていないことの証ですので。サーバ情報が盗まれているのだとしたら簡単に再発してしまう問題。WordPressのようなオープンソースのCMSでは辞書攻撃などで管理画面を乗っ取られて改ざんされるケースはままありますが…。
セキュリティ情報を変更したり、その情報の公開範囲を制作会社の一部に絞ったりと対策が大変そうです。