Home > Web | 備忘録 > 会員ブログから管理画面にログインするのは危険?

会員ブログから管理画面にログインするのは危険?

「あしたさぬき」では次の場所から管理画面にログインできます。

  1. TOPページの右側上部にあるログインフォーム
  2. 会員ブログページの「あしたさぬきインフォ」にある「ログイン」ボタンをクリック
    ->移動後のログイン画面


ところで、会員ブログにはログインフォームは存在しません。

「なんで無いんだろう?」

ブログを始めた頃から疑問に思っていました。
偶然ないのかな?それとも何か理由があるんだろうか?

そんな疑問をすっかり忘れていたのですが、2/14(土)の夜になぜか気になってしまい、眠れなくなってしまいました。

そこで、自分のブログにフォームを付けてみて理由を考えてみました。

ログインフォーム 実験的にログインフォームを付けた画面です。 画面左側、運用会社がログインフォームを会員ブログに設置しているように見えませんか? もし、こんな感じにログインできるようになっていたら、あなたはどうしますか? 思わず、会員ID、パスワードを入力してしまいそうになりませんか。 実は、無条件で入力するのはあまりよい方法ではありません。 信頼できるブログなら別ですが、 そうでないブログでは決して会員IDとパスワードを入れていけません。 もし、そのログイン画面が悪意をもって作成されていたら、会員ID、パスワードが盗用されます。 フィッシング詐欺はこんな感じで行わるのです。 では、サイドバーの広告欄にある「ログイン」ボタンがあるので、そこからログイン画面へ移動するのは安全でしょうか? 広告欄とログインボタンはセットになってすべての会員のブログに入っているので、一見安全なように見えます。 残念ながら、広告欄も偽造できてしまうので、安全ではありません。 (上の画像には広告欄がなく、ここに偽の広告欄を付けることができてしまいます。やり方は本記事の範囲外なので悪しからず) では、一体どうしたらよいのでしょうか? ・ログインする時はトップページから行う ・自分のブログの「ログイン」ボタンをクリックして移動先のログイン画面から行う もし、誰かのブログから「ログイン」ボタンをクリックしてログインページに移動しているなら、アドレス(URL)を確認してください。 (あなたが信頼しているブログなら話は別ですが) 会員ID、パスワードを入力するのは、運用会社のページに間違いないことを確認してから行ってください。 たしかに面倒だとは思います。 しかし、たかがブログと言わず、この習慣をつけておくといいことがあります。 フィッシュング詐欺にひっかかりにくくなります。 少し内容が多くなりましたが、結論をまとめます。 ブログにログインフォームがない理由
  1. TOPページあるいはログイン専用画面からログインする習慣をつけ、ブログのログイン画面に疑問を持ち会員が不用意にログインしない
  2. みなさんのセキュリティ意識を高めるため、あえてブログにはログインフォームを入れていない
少々強引なまとめなような気もしますが、あなたはどう思いますか? (もし要望があれば運用者に確認してみますが・・・) お願い 私は職業で日々ネットを使っており、詐欺の事例や失敗事例を関心を持ってみています。 これはひっかかるかもなぁと思うことが時々あります。 詐欺師は自分より何枚も上手でしょうから、みなさん用心しましょう。 本稿を読まれている方はセキュリティについては関心がある方だと思います。 たいていは自分で解決できるとして、まれに解決できない問題が起こるかもしれません。 そんな時は、一人で悩まずに、サービス提供会社、プロバイダー、公的機関(警察・消費者団体)、詳しい知人、専門の業者さんなどに相談してください。 きっと何か方法が見つかると思います。 相談される時に1つお願いしたいことがあります。 何かおかしいと感じた時には、あとで調査対応ができるようサイトのURLを必ず控えてください。 (先日参加したインターネット安全教室(香川県)でもこの話がありました) 慌ててブラウザを終了させたり、パソコンの電源を切ってしまうと、重要な手掛かりが無くなってしまい、調査ができなくなってしまいますので。 みなさん、よろしくお願いいたします。 最後に ブログは画面レイアウトを会員がカスタマイズできてとても便利です。 ブログにログインフォームを作るのも知識があれば簡単にできてしまいます。 自由度が高いがゆえに、フィィッシング詐欺などへの悪用もできてしまいます。 絶対安全というのはないので、自分なりのルールを作って接していくのがよいと思います。 例えばログインについては、 ・ログインは専用ページからログインする ・重要な情報を入力するページはアドレス(URL)を確認する などのルールです。 ルールが適切かどうか自信が無い方は、詳しい知人などに相談してみてください。 サイト運用をされる事業者の方は大変だと思いますが、セキュリティ関係の啓蒙活動は継続して欲しいですね。 [参考URL] フィッシング(IT用語辞典) フィッシング詐欺 ウィキペディア(Wikipedia) インターネット安全教室 IPA情報処理推進機構 サイバークリーンセンター [履歴] 2009-02-19 参考URLに「サイバークリーンセンター」を追加(NHKのクローズアップ現代で報道された後だったので、追加した時点ではサーバーにアクセスできません、TVの力は凄いですわ)
お知らせ
技術ブログ記事一覧】 これまでに投稿した技術的な記事を、Webデザイン、セキュリティ、 ソフトウェアなどのカテゴリー別にまとめています。 よろしければ時々ご覧ください。