勝手によろず支援 その7 - Phishing

Google Chromeでウェブページを右クリックすると出てくる「 Inspect （日本語だと『検証』）」という機能があります。これを使うと、ウェブページを構成しているHTMLのソースを確認したり、さらには書き換えたりすることが出来ます。ウェブアプリの制作過程で無くてはならないツールなのですが、最近ではお客様にも直接使い方を説明させて頂くこともあります。

ある程度、慣れてくると「ここ、こんな風にして」っていう指示を実際の画面ベースで作れるようになるので、とっても便利です。作り手と受け手、発信と受信、がますます双方向になる時代ですよね。

…と、ここまでが前置きです。先日Twitterでたまたま流れてきたメッセージの中で、ネットバンクの預金残高が何十億もあるのをチラッと写して「ボクとビジネスして自由を手に入れませんか？」というものを見かけました。ウェブサーバの仕組みやhttp・SSLといったプロトコルどころか、HTML・CSSも知らなくても、ブラウザの標準機能一つで簡単に書き換えられる数字です。これは騙す方（失礼ですが…騙される方も）のレベルが低い事例で厳密にはPhishingとも呼べないかもしれません。ある程度の規模の事業をやっていて、例えば大きめの融資を受けた直後とか、残高が数十億とか実際にあっても特に不思議はありませんが、そういう（ちゃんとした）人は預金残高で人を誘うようなことはしないですよね(^^;

ただ、ある程度知識がついてくると、こうしたネットバンクのログイン画面にそっくりな画面を精緻に作り込むことが出来るようになります。SSLの証明書も今では簡単にとれますので、それっぽいドメインをつけて、本物のネットバンクからコピーしてきたHTMLを貼り付けてしまえば、一見して判別不可能なレベルに仕上がります。そういう偽サイトを運営する費用も、高々月数千円くらいのものです（1000円以下でもいけるかも？）。

色んな事例を見聞きしますが、あんまりレベルの高いPhishingにはなかなか出会えないです。ちゃんとしたのを作れる人は、もっと持続性のある、ちゃんとした稼ぎ方を見つけているんだろうな、と想像します。ネットバンクそのものを作り込めるくらいに上から下まで、データの流れが見えてくるようになると、そもそも「お金」という存在自体がバーチャル（仮想的）なもので、それが増えるとか減るというのは、なんなのか？という哲学にも似た疑問にまで発展します。これは、またおいおい…（私自身もまだよく分からないです）。