本頁作成日： 2005年4月15日
最終更新日： 2008年4月5日

このページは、現在巷で氾濫している、Webサイト（ページ）URL の“http(s)://”識別子抜き表記
の是非を問い、“絶対パス”表記を推奨するために作成されました。

このページへアクセスするための URL の絶対パス表記:
https://www.somesecure.info/sample_pages/www.sample_pages.jp/index.html


上記 URL の https://www.somesecure.info/sample_pages/ の後に付けられた、
www.sample_pages.jp/index.html （ひどい時は www.sample_pages.jp (※1)）の部分は、
正に、現在巷で氾濫している、URL の“http(s)://”識別子抜き表記文字列そのものです。

このページへのアクセス成功は、
http(s)://〜Ａさんの独自ドメイン・サブドメイン文字列〜/ に なりすましたサイト として、
http(s)://〜第三者のサイト〜/〜Ａさんの独自ドメイン・サブドメイン文字列〜/
が存在してもおかしくない、第三者が故意に作り得ることを証明しています。



ぱっと見ではよくわからないかもしれませんが、たとえば、人づてで、
Webサイト の URL を URI のルールである http(s):// からやりとりしない場合、


　１．悪意のある第三者が、大手家電店であるＡさんの Webコンテンツ の
　　　“なりすましページ”を上述のような なりすましたURL に作成する。

　２．消費者であるＢさんは、Ａさんの Webサイト を訪問したいが、宙吊り広告で見た
　　　URL が“うろ覚え”で、ブラウザに直接入力すると DNSエラー になってしまうため、
　　　記憶にある URL文字列 を基に Web検索 することにした。

　３．検索エンジンにてヒットした、とある Webページ に記述されている URL文字列 が
　　　Ｂさんの記憶と一致するため、Ｂさんは、その URL にアクセスすることにした。
　　　ページレイアウトが違和感なかったので、Ｂさんは、配下ページのアンケートで、
　　　住所・氏名・年齢・電話番号・クレジットカード番号などの個人情報を
　　　フォームで入力・送信してしまった。

　４．実は、その Webサイト はＡさんのものではなく、１項で述べた、
　　　悪意ある第三者の“なりすましページ”であって、その後Ｂさんは、
　　　流出した個人情報が悪用され、架空請求の被害に悩まされることになる
　　　（＝いわゆる、フィッシング詐欺）。


といった伏兵、トラブルの発生を想定することができるでしょう。
こういう渡し方は、Cookieのセキュア属性を付ける・付けない以前の問題ですね。

訪問者がこのルーズさに慣れると、例えば “javascript:” から始まるような文字列でも
ホイホイとクリックしてしまうことになるでしょう。この危険さがお判り頂けるでしょうか？

URI 規約上で、URL はその文字列の先頭に http(s):// を付けることで定義される       ことになっています。但しそれが至極当たり前であるので、ほとんどのWebブラウザでは、           文字列 http:// （または https://）を省略してアドレスバーに入力しても、それを補って動作するよう       作られています。このメカニズムの説明を端折って、“http(s)://”抜きで渡すことはとても危険           であると考えられます（Webブラウザには、ユーザ個々のニーズによってWeb検索などの拡張機能が       アドインされる可能性があり、渡された URL がアドレスバーに直接入力されるとは限らない。そこを           付け狙われる可能性がある。（URLではない文字列がアドレスバーに入力される可能性がある）       これに特化した、“なりすまし”プラグイン（アドウェアか？）も WWW上には多数あるので注意要）。

以上のことより：

　　Webサイト の管理者の方へ

　　　　いわゆる、フィッシング詐欺対策・なりすまし対策のため、
　　　　広告等で Webサイト（ページ）URL を記載する場合は、識別子を含めた、
　　　　http(s)://〜 から始まる“絶対パス”表記をすることを強くお勧めします。

　　　　例えば、ショッピングカートをお持ちのWebサイトも多々おありでしょう。
　　　　そういった時など、“http(s)://”識別子付き表記で渡していかないと、
　　　　SSL通信さえ、何の意味もなくなってしまうのではありませんか？
　　　　（なりすましの途中から案内されるSSL通信の無意味さを想像してください）

　　　　会社方針（？）等で、どうしても“http(s)://”抜き表記をせざるを得ない場合は、
　　　　訪問者のために、URL の“絶対パス”を傍記することを強くお勧めします。

　　　　※1：
　　　　　パス区切り文字“/”を省略してしまうと、www.sample_pages.jp はひとつのサイトなのか、それとも
　　　　　拡張子の概念がないコンピュータが作成したファイルなのかが訪問者には判断できなくなります。
　　　　　訪問者のセキュリティを脅かすことになりかねませんが、これはWeb検索と組み合わせることで
　　　　　さらに複雑な問題になってしまう可能性があります。

　　Webサイト を訪問する側の方へ

　　　　いわゆる、フィッシング詐欺対策・なりすまし対策のため、
　　　　初めて訪問する Webサイト は、その URL を、http(s):// から始まる“絶対パス”で
　　　　調べてからアクセスするようにしましょう。

　　　　『なりすまし対策のため』と断っても“絶対パス”を教えてもらえないサイトは、
　　　　訪問者のことを第一に考えていないサイトなのかもしれません。
　　　　（その場合、訪問者なくして、何のための Webサイト なのでしょうか？）

　　　　また、言うまでもないですが、個人情報の Webフォーム への入力・送信の際は、
　　　　SSL通信 は当然のこととして、そのサイトの個人情報取扱への考え方である、
　　　　“プライバシ・ポリシー”を十分に確認するようにしましょう。




　　その他ご参考：

　　　　　computerworld.jp より：
　　　　　　日本のユーザーを狙う「フィッシング詐欺」の狡猾な手口
　　　　　　「URL偽装型」がついに日本上陸。エンドユーザーを守る手だてはあるのか!?
　　　　　　http://www.computerworld.jp/news/sec/15082-1.html


　　　　　Microsoft Security/ 最新のセキュリティ インシデント より：
　　　　　　マイクロソフトのセキュリティに関連するメッセージが本物であるかどうか確認する方法
　　　　　　http://www.microsoft.com/japan/security/incident/authenticate_mail.mspx


　　　　　World Wide Web Consortium より：
　　　　　　Uniform Resource Locators (URL)
　　　　　　http://www.w3.org/addressing/url/url-spec.txt




　　関連：
　　　　　なりすまし対策: 自サイトは「検索してください」で誘導しない