(画像はEquifax社のWEBサイトより)
いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。
先日、米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)が、米国版マイナンバーである社会保障番号を約1億4千万件以上流出してしまい、大きな問題になっているという事件を記事にしましたが、その後も混乱が続いているようです。
Equifax社は、今回の事件の対応のために専用のWebサイト(equifaxsecurity2017.com)を立ち上げたのですが、こともあろうに同社の公式Twitterがほんの少し違う偽URL(securityequifax2017.com)を記載してユーザーに案内してしまったといいます。
securityequifax2017.comというドメインは、セキュリティの専門家がわざと本物のサイトに似せて作った偽サイトであったにも関わらず、同社のTwitter管理者自らがまんまと引っかかってしまったということのようです。
下記URLの記事の中で、セキュリティの専門家のコメントとして「Equifaxは信頼できるSSL証明書を使ったequifax.comでこれをホスティングすべきだった」との意見が記載されています。
http://www.itmedia.co.jp/enterprise/articles/1709/21/news096.html
(私のコメント)
先日の記事を書いているときに、事件の後始末のためだけに専用のドメインまで取ってるのはすごいけど、ひと段落したらドメインごと削除するつもりなのかなと私も少し気になっていました。新しいドメインを作成すると、今回のように偽サイトが登場したり、それに間違えてアクセスしてしまうことが起こるのですね。重要な局面であればあるほど、自社のWebサイトとしてみんなが知っていて信頼のおけるドメインを使わないといけないのだと改めて思いました。
たとえ話で言うと、大通りに立派な本社ビルが立っているのにも関わらず、「事件の対応は裏通りに用意した専用テントで受付します」と言って顧客をそちらに誘導していると、そこに行く途中にそっくりの偽テントが立っていて、ぞろぞろ顧客がそこに入っていっている、そんなことになるのだと思います。ドメインの使い方ひとつで、セキュリティ水準を下げてしまうということです。
また、何か情報が入りましたら、皆様にシェアいたしますね。