PayPalを装ったフィッシングメール(らしきもの)が来て、どうしたら通信相手が間違いなく PayPalだと確認できるのだろうか?と思ってるうちに、PayPalのアカウントなんて持ってないやと気付いて思考停止したのが去年の 7月15日。
今なら大事な情報を送信する前に二つのことを確認する。
1は結局、問題のない証明書を用いて SSL通信が行えているかどうか、というのと同じ問題になる。そうしてアドレスバーと実際の通信相手が一致することを確かめた上で、2.その相手が信用に足るかどうかを判断する。
Firefoxの証明書ビューアで表示した www.paypal.comの証明書はこうなっている。
この証明書は以下の用途に使用する証明書であると検証されました: [SSL サーバ証明書] 発行対象 一般名称(CN) www.paypal.com 組織(O) Paypal Inc. 部門(OU) Information Systems シリアル番号 6E:6B:9C:A3:F7:52:35:B4:95:37:86:D4:E5:13:54:A9 発行者 一般名称(CN) VeriSign Class 3 Extended Validation SSL SGC CA 組織(O) VeriSign, Inc. 部門(OU) VeriSign Trust Network 証明書の有効期限 …… 証明書のフィンガープリント ……
詳細タブに切り換えて www.paypal.com > Certificate > Subject を表示すると組織名の他に住所のような物も表示される。
CN = www.paypal.com OU = Terms of use at www.verisign.com/rpa (c)06 OU = Information Systems O = Paypal Inc. Object Identifier (2 5 4 9) = 2211 N 1st St L = San Jose ST = CA Object Identifier (2 5 4 17) = 95131-2021 C = US Object Identifier (1 3 6 1 4 1 311 60 2 1 2) = Delaware Object Identifier (1 3 6 1 4 1 311 60 2 1 3) = US Object Identifier (2 5 4 5) = 3014267
発行対象として表示されている内容の確かさは VeriSignが責任を持つのだろうね。このへん日本ベリサイン - ベリサイン サーバID - 申請から発行までの流れ(ベリサイン EV SSL証明書)を読めばわかるのかも。
その他に http://whois.ansi.co.jp で paypal.comを検索してみたけどこれは失敗した。
これらを見てクレジットカード番号などを送信するかどうか判断するのは自分自身。知らない相手なら教えない。
2.0になって、新着メールの件数以外に件名や内容がポップアップに含められるようになったが迷惑メールと判定されたものまで含めてしまっている。件数は、これまで通り迷惑メールを除いた数字が通知されている。