悪質サイトに間違われないためのWebキャンペーン・・さすが！

みなさん(〃^∇^)oお疲れさま～
いかがお過ごしですか(^^*)
今日の私は
先輩にほめられた(o≧▽ﾟ)o
そこで、今日の話題ですが・・・
ﾗﾗﾗ♪♪♪
悪質サイトに間違われないためのWebキャンペーンについて調べてみました。

こうゆうことです（￣￣ー￣￣）

悪質サイトに間違われないためのWebキャンペーン
6月9日10時53分配信 ITmediaエンタープライズ


会社に潜む情報セキュリティの落とし穴：今回は企業の有力な拡販ツールとなった「Webキャンペーン」における注意点について紹介します。

Web上の問題点では、最近はクロスサイトスクリプティングやSQLインジェクションといった脆弱性を狙う攻撃が広まっていますが、今回はもっと基本的な――盲点となっている――ポイントを解説します。

まだ個人情報保護法が施行される以前、わたしの知人（30代女性）にある1通のメールが届きました。普段ならすぐに廃棄するジャンクメールですが、その中に彼女が欲しかったバッグの名前が記載してあったのです。その文面は次のようなものでした。

「○○（ブランド名）のバッグを100人、1万円の商品券を500人にドカーンとプレゼント！」

さっそくそのサイトで確認したところ、簡単なアンケートに応募するだけで抽選の権利が貰えるといいます。彼女は祈るような気持ちでアンケートに答え始めましたが、途中からどうしても違和感を覚えたので中断し、わたしに相談をしてきました。

わたしはメールを確認してから内容を精査しました。メールやリンク先のホームページなどの情報から、帝国データバンクによる業績の状況、日本レジストリサービス（JPRS）の「WHOIS」サービスなどを利用して確認しました。その結果は以下の通りでした。

1. 帝国データバンク内に記載された会社、住所が一致するものは無かった

2. WHOISではレンタルサーバの管理となっており、実際の会社とは無縁のサーバ運用会社の情報が掲載されていた

3. メールに記載された問い合わせの電話番号は転送されており、そのサービスを行うオペレーターが対応していた

4. 実際の住所まで出向いたが記載の会社はどこにも存在せず、ビル名自体が偽りであった

5. 連絡先のメールアドレスは会社のドメインにしたアドレスになっておらず、フリーメールのIDが社名に近似していただけのものだった

彼女が違和感を覚えたのも当然で、アンケートには「化粧品販売」向けのアンケートだとうたわれていたものの、その内容は彼女によれば次のようなものでした。

【必須項目】

氏名、年齢

既婚・未婚（既婚の場合は離婚・死別欄もあった）

性別（女性向けアンケートとなっており、男性の選択肢がなく固定で「女」と記載済）

住所、電話番号、職業

普段利用している化粧品（選択欄があり、メーカー名と商品名、購入価格を書き込むようになっていた）

「お肌」で普段悩んでいる事

今後化粧品に期待したい事

【任意項目】

勤務先の団体名・会社名、住所、連絡先

身長、体重、体の部分や性格で悩んでいる部分

持病、生理周期、利用の生理用品

今後「治験者」としてご連絡を差し上げてもいいか（簡単な説明と日当として危険度に応じて3000～5万円までを支給）

女性たちは意外にもブランド品ほしさから、他人に対して恥じらうことが少なく、任意項目もかなりの確率で記載してしまうといいます（任意項目を書かないと落選するのではないかと考えてしまう）。

さらには化粧品のモニターとして同時に応募すれば、1年間参加するだけで1カ月数万円の報酬と化粧品が使い放題（そのメーカーのものに限る）になるといいます。ただし、モニター希望者は、デジタルカメラで撮影した全身と顔のアップの2枚の画像をメールに添付するよう指示されていました。

今なら誰もが「おかしい！」と気が付くかもしれませんが、その当時はほとんどの人が個人情報保護などという概念すら持っていませんでした。現在でもさほどその意識は大きくは変わっておらす、「多少神経質な人が増えただけ」と指摘する専門家もいます。

分析の結果、わたしはさっそく唯一の連絡先だったメールアドレスに警告をしましたが、まったく音沙汰がなく、そうこうしている間に十分に目的を達成したのか、サイトは閉鎖され、真偽の不明な当選者をサイトに公開して表舞台から消え去りました。

●都合のいい？　個人情報保護法

最近では、インターネットを利用した怪しげなアンケートやキャンペーンがどのような状況なのかを知る手段がほとんどありません。標的とする人間にこっそりジャンクメールで攻勢をかけて応募者を集め、「おいしい」個人情報だけを持ち去り消えているサイトがまだまだ存在しているのか、もしくは古い手段として現在ではほとんど発生していないのでしょうか。騙される側が「わたしは騙された」と思わなければ、闇の中で完結してしまうため、現状を明らかにした信頼できる数字は残念ながら持ち合わせていません。

しかし、個人情報保護法が施行された当初に、「これでまた詐欺が増える」と知人と話していたことがあります。詐欺サイトを製作し、最後まで「騙された」と思わせないように当選者を掲載してしまえばいいからです。

例えば、以下のようなものあります。

「ブランド品の当選者発表」

・横浜市　K．佐藤様

・神戸市　Y．伊藤様

・杉並区　E．中守様

弊社は個人情報保護法順守の視点から当選者ご本人様が特定できないように住所、氏名ともに一部のみを公開させていただいています。ご理解のほどお願い申し上げます。

これなら疑われる心配がなく、しかも創作しやすいのです。これだけで信頼が得られるという、本当に変な世の中になってしまいました。しかし、このようなやり方でも疑われることもあります。その違いが分かるでしょうか。

・神奈川県　L.佐々木様

・埼玉県　V.谷岡様

・東京都　Q.山田様

この例は、実は外国人が詐欺目的でサイトを立ち上げたもので、一番の大きなミスは彼らが日本語をほとんど理解できなかったという点に尽きます。本来日本語においては発音できないはずの「L」「V」「Q」の文字が表示されています。強いて言えば「日系二世」「日系三世」「国際結婚」という可能性もありますが、100人の当選者の中に1人いればいいという確率において、7～8人もいたのではさすがにおかしいとしかいいようがありません。

●企業と顧客がそれぞれ注意しよう

これらの事例から、企業がWebサイトでキャンペーンやアンケートを実施する際に注意すべきポイントは、以下のようになると思われます。

1. 特別サイトを開設する行為そのものはキャンペーンを盛り上げるのには有効だが、SSL証明書やそのほかの方法でそのサイトが正当なサイトであることを簡潔に証明することが必要。そうしなければ、猜疑心の強い人々を説得するのが難しい

2. 大手企業では下請けや孫請けした会社が実作業を担当しているケースが多い。この場合は実作業する会社のセキュリティ強度がそのまま反映されかねないので、委託先の管理と監視が重要。特に顧客ファイルのデータベースや申し込みメールの管理は十分過ぎるぐらいにチェックし、大手企業並みの管理を実施する必要があるかを内部で検討する（実際に大手メーカーのホームページからアルバイトがデータをコピーした事例も発覚している）

3. Webの脆弱性対策も重要。IPAでは「安全なウェブサイトの作り方 改訂第3版」を公開しており、ここに記載されたチェックリストでの検査は、委託先も含めて最低限実施する

4. 可能であればWebサイトに対するペネトレーションテスト（不正侵入テスト）などを事前に行い、潜在的なリスクを認識もしくは改善しておく

5. 個人情報保護法やJ-SOX対応などによって、以前は問題にならなかったことも問題視されるリスクがある（昔の経験則を無批判に受け入れ、後で泣いている管理者も多い）。必ずチェックする習慣を身に付けよう

6. デザインは優れているが、「基本ができていない」と言われるサイトが多数存在する。特に顧客の立場から「運営責任はどこか？」という点が明確になるように住所や社名、連絡先（メールと電話、FAXが望ましい）を記載し、可能であれば担当者まで公開すべきです（「この会社はしっかりしているようだ」と思われる可能性が高くなる）

また、顧客サイドで注意すべきことは次の通りです。懸賞サイトは「誘蛾灯」と同じで、その内容を吟味してから応募することを常とする。無批判で懸賞がすごいからと応募すると後で後悔することにもなりかねず、まずはそのサイトが本物であるかを見極めましょう。

●「見極める方法」

・本家本元のホームページで、そのサイトが本当にキャンペーン期間中のサイトかを確認する

・WHOISにおいて本社のドメイン配下かをチェックする（ただし他社やレンタル会社だからといって「偽物」とは限らない。心配なら本社に電話をして確認する）

1. 本物のキャンペーンサイトからでも情報漏えいは過去何回も起きています。本当に神経質な人はインターネットで絶対に応募すべきではありません

2. フィッシング詐欺サイトなど、不審さ感じたら所轄（警察などの）のサイバー対策室に連絡する

3. アンケートの内容に疑問を感じたら、まずは企業の本社に情報を伝達する本物のサイトなら善処が期待できるが、無視されるのであれば消費者センターなどに相談する方法もあります。特に機微情報の部分においては絶対に記載しない方がいいでしょう

悪質サイトの被害者にならないように企業と顧客はそれぞれ注意し、健全にインターネットを利用できる仕組みをお互いが築いていく必要をあるでしょう。ぜひ盲目的な利用は避けて、注意しつつもインターネットならではの「便利さ」や「速さ」といったメリットを享受できるようにしていただきたいと思います。

http://headlines.yahoo.co.jp/hl?a=20090609-00000023-zdn_ep-sci

以上＼（○＾ω＾○）／です～

どうでしたか？
私としては
座布団1枚！
いやー、しかし
ぼちぼちいきましょう。
では、では。



[PR]【四国剣山森の天水】剣山の天然水
[PR]インナーウェア