SecurityFocus HOME Mailing List: Bugtraq-JP

フィッシング詐欺に騙されないよう消費者が自衛できるための手段としてイー
バンク銀行が2004年9月12日より開始した、パスワードの前半部分の入力によっ
て、事前登録しておいたキーワードを表示させる仕組みは、これによって「正
規のサイトであることを確認できる」と説明・報道されているが、実際には、
詐欺師が偽サイト上にユーザ個別の登録キーワードを表示することは容易に実
現できるのであって、これはフィッシング詐欺を防止できるものではない。

何日か前にITメディアをはじめいろいろなIT系メディアで紹介されていたイーバンクのフィッシング対策に対する反論。

もっともらしい措置（この場合　事前に登録したキーワードが一致していればそのサイトは真のサイトであるという理屈）が、実はザルもいいところで逆に利用者の警戒心を緩める方向に誘導してしまうという例をわかりやすく説明しています。

こういう仕組みを作ったのがもっとも信用を重んじる銀行というところがみそですね。　内容についてはかなり、いろんなところで取り上げられているけど、私を含め一般の利用者がこういったものを安全だと誤誘導してしまう前に少なくともIT系メディアと名打っているならちゃんと内容を判断して紹介してもらいたいものですね。