オンラインショップサイトの見極め、こんなところにも注目を（3/3 ページ）

[小林哲雄，ITmedia]

まるで注文の多い料理屋？

　さらに「さすがにこれはないだろう」と感じたのは、次のケースだ。ユーザー登録を行うために、一時的にせよ「セキュリティソフトをオフにせよ」と指示している。

「Webサイトの信頼度を上げろ」「セキュリティソフトを切れ」という指示は、意図的にユーザーにとっての敷居を高くしているように見える

　オンラインショップ側がユーザーにセキュリティレベルを下げるよう指示するケースは、このサイトに限らない。中にはWebブラウザの設定を変更し、例えば「未署名のActiveXコントロールのダウンロード」を有効にするよう指示するケースもあるという。

　強いて言えば、今回のケースで推奨すべきは、その前に書かれている「セキュリティソフト上で、アクセス先Webサイトの信用度を上げる」方法だ。できれば、具体的な方法を記した上で、この方法を勧めるべきだろう。しかし、このような指示は、ユーザーの環境に合わせた設計をしていないオンラインショップ側の怠慢……というのは言い過ぎだろうか。ユーザーとしてはユーザーとしては、自分のセキュリティ設定を下げるよう指示するWebサイトには近づきたくはないのだが。

番外：進化するキーロガーへの対策

　ショッピングサイトではないが、キーロガー対策としてユニークな方法を採用しているのが、「ゆうちょ」のログイン画面だ。

　フィッシング詐欺やスパイウェアの増加を踏まえ、オンラインショッピングサイトや金融機関のサイトでは、IDやパスワードの詐取を防ぐためのいろいろな方法が考案され、実装されてきた。その例の1つが、画面上に表示されるソフトウェアキーボードだ。しかし敵もさるもの、今度はマウスをクリックしたタイミングで画面をキャプチャするスパイウェアが登場してきた。この手法にさらに対策を施したのが、ゆうちょのログイン画面ということになる。

　この仕組みでは、マウスカーソルがソフトウェアキーボードの枠外にあるときには、ボタン上に文字が表示される。ところが、文字をクリックさせようとマウスを移動させ、ソフトウェアキーボードの上に載せると、文字が「＊」に変わる。こうなれば、いくらキャプチャしてもパスワードなどはわからない。しかも、リロードすれば文字の位置は変わる。

筆者が見たことのあるソフトウェアキーボードの中で、最もキーロガーに強いだろうと感じたのがこの方式だ。あらゆるサイトに導入できる手段ではないと思うが、金融機関なら許されると思う

　トランプの神経衰弱みたいで、ユーザーには多少の記憶力が要求される。だがこれならば、画面キャプチャ型キーロガーによるパスワード詐取は困難だろう。もっとも、また攻撃者側が新たな手を考えてくるまでの一時しのぎにしか過ぎないかもしれないが……。

　以上、思いつくままに、いくつかセキュリティ上気になるオンラインショッピングサイトの例を紹介してきた。

　ユーザーにとっては、よほど特殊なものを買い求めるのでもない限り、ささいな（あるいは重大な）理由でも、別のショッピングサイトに乗り換えることができる。せっかく安全にオンラインショッピングを行うための暗号化などの仕組みがあるのだから、ユーザーの目線に立って、分かりやすくかつ適切に設計、実装していくことが求められるだろう。