web spoofing とは、ある web サーバを装い、似通った偽物の web サーバを構築し、この偽物の web サーバを本物と思いこませ、アクセスするようにしむけ、web サーバにアクセスするユーザに対し、嘘の情報を流したり、ユーザの個人情報を入手したりします。

■web spoofing で何を企んでるの？

　web spoofing は次のいずれかを企んで行います。1 つは嘘の情報を流し本当の web サーバを保有する会社を混乱させます。もう1つは本物の web サーバだと思い込んでアクセスするユーザに様々なボタンを押させたり情報を入力させたりします。例えば、ユーザのクレジットカードナンバーを入力させ盗んだり、トロイの木馬やウイルス等をダウンロードさせたりします。これらは SSL だから安全というわけではありません。SSL で接続する際に CA で本当の web サーバであることの認証された場合は安全であるといえます。

■どうして偽物の web サーバを本当と思わされてしまうの？

　web spoofing は特に高度な技術を使っているのではなく、通常の日常生活の中にある詐欺行為の様なものです。そういった点でソーシャルエンジニアリングやリバースソーシャルエンジニアリング に近いとも言えます。以下の様な方法で偽物の web サーバを本物の web サーバと思いこませます。

　例えば、以下の方法があります。

• 偽りの DNS 情報を流す←ブラウザから "" とタイプしますが、DNS サーバがだまされていまうので、本来の IP アドレスではなく、偽物 web サーバの IP アドレスのホストに接続してしまいます。
• まぎらわしい URL やドメイン名にして、偽りの URL にリンクされたものを押させる。←例；"" と"" これは英小文字の "エル" と数字の "イチ" です。他にも英大文字 "O" と数字の "0"、英小文字どうしの "g" と "q" などです。また "http://www.cybozu.co.jp/" のところを"http://www.cybozu.co.jp/ http://crack.co.jp/" とし、偽りの URL にアクセスさせたりします。
• E-mail 内の偽りの URL を押させる。←これらにアクセスさせるように偽りの URL を E-mail で送ったり、有名なサーチエンジンにこれら偽りの情報を登録したりします。
• 偽りのブックマークを作成し、そのリンクを押させる。←偽りのリンク集を作り、 偽りの URL でユーザを騙します。

　このような偽りの web サーバやこれらの構築をサポートするシステムまでもが既に存在しています。

■web spoofing を見破るには？

　日頃から (日常生活同様に) web サーバにアクセスする時にだまされないような注意が必要である。 web サーバのページを見た感じだけで信用してしまうのは危険な習慣です。

　URL を手入力する場合は比較的安全でしょうが (勿論 DNS spoofing されていると無意味です)、コピーペーストする場合やリンクボタンを押してアクセスする場合は URL を確認する習慣が必要です。

　特にカードナンバーを入力する際は SSL で接続された後、認証を受けた会社の情報を確認する習慣が必要です。

そろそろ結婚適齢期？？？ 生命保険の切り替えはココ 海外旅行保険の加入はコチラ！