サーバー変更報告とフィッシングサイトの見分け方
2020/11/14
お久しぶりです!
突然ですがサーバーを変更してURLのベースがhttps://blog.kojibm.net/になりました。 独自ドメイン kojibm.net を取っちゃいました。テヘ:-p
ということで今回はサーバー名やドメイン名、それに関連するお話など。
20年以上お世話になりました
もう20年以上も前になりますが、 「好きな文字列.pos.to」という名前のサーバーが借りられるポストネットというサービスがあり、 私は bluefoun.pos.to という名称でそちらを利用することにしました。 今年の4月にブログを始めようと思ったのも、 借りていたサーバーがあったからこそでした。 最近は全然使っていなかったんですけれどね。
ところがそのあとで、来年すなわち2021年でこのサービスを終了するという通知が来ました。 そのため大変残念ではあるのですが、サーバーを変更することに。
途中で運営会社が変更になっているので新旧ポストネット関係者の皆さま、お世話になりました。 長期間ありがとうございました。
当時の最先端も保守は厳しい
二十数年前の当時は日本では、というかもしかしたら世界でもまだブログが普及しておらず、 簡単な日記を書くとしてもhtmlファイルを直接ftp等でサーバーにアップするような時代でした。 それができるサービスとして、ポストネットさんは最先端だったと思います。
しかし保守を考えると大きな問題があります。 例えばサーバーのバージョンは当時からほとんど変わっていません。 20年前のソフトウェアを今も動かし続けるのはかなりの困難が伴うはずです。
最新にすれば良いかも知れませんが、そのタイミングで各自改修が必要になるでしょう。 私のような個人趣味のサイトであれば多少動かない期間があっても困りませんが、 例えばショッピングサイトを運営している会社が借りているなら大きな問題になるかも知れません。
そんな中で、今までよく保守してくださったものだと、感謝の気持ちでいっぱいです。
前サイト http://www.bluefoun.pos.to/blog/ を分解
ここで、今までのサイトのURLのベースである「http://www.bluefoun.pos.to/blog/」を分解してみます。
httpとhttps
まずhttpは、「Hyper Text Transfer Protocol」の略で…という細かいことはおいておいて、 Webブラウザーで閲覧するWebサイトであることを表すものですね。
新サイトはhttpsになっていますが、 この s はSecureつまり安全という意味になります。 具体的には通信内容が暗号化されるため、第三者に読まれることはありません。
httpsはサーバーに高い負荷がかかるので20年前の当時はhttpが一般的でしたが、 どんどんサーバー性能が上がり、数年前くらいからでしょうかhttpsが強く推奨されるようになりました。 その流れもあってか新しくお借りしたロリポップ!レンタルサーバーさんでは無料でhttpsが使用可能でしたので、 設定させていただきました。
www.bluefoun.pos.toを右から
次のwww.bluefoun.pos.toを右から順に見ていきます。
toはトンガ王国
toはトンガ王国のドメイン名です。 この名称(to)を一番右に含むドメイン名はトンガ王国のネットワーク管理組織が管理しているハズです。
ちなみに日本だとjpで、こちらは日本の組織が管理しています。
pos.toはポストネットのドメイン
jpドメインを使うには日本国内の住所が必要そうですが、 toドメインはトンガ王国に限定する制限が無いのでしょう。 日本在住でも使えるようです。
インターネットには厳密なルールが無いので、これは管理会社の方針に寄るものと思います。 最後がtoで終わる英単語やローマ字が使えるというのは、世界でも需要がありそうですから、 それなら利用者を自国に限定せず、世界に開放することで利益を自国に還元した方が良いと考えたのかも知れません。
ポストネットさんはおそらくそのトンガ王国の管理組織から pos.to というドメイン名を購入したものと思います。 いや経緯等はまったく把握していませんが、 きっとそのあたりに詳しくて迅速に動いた方がいらっしゃったのでしょうね。
bluefoun.pos.toはポストネットさん提供
ドメイン名というのは、サーバー名の右側になります。 取得できたドメイン名を右側に置けば、左側は自由に設定できます。 つまりポストネットさんは「好きな文字列.pos.to」という名前のサーバーを持つことができるようになったわけです。
そこでポストネットさんは、名称の最後が pos.to のサーバーを貸し出すサービスを始めて、 私が bluefoun という名前でお借りした、ということになります。 これで bluefoun.pos.to が使えるようになりました。
www.bluefoun.pos.toもポストネットさん提供
ここで、純粋に bluefoun.pos.to をドメイン名としてお借りしたなら、 「好きな文字列.bluefoun.pos.to」を私が自由に使えることになります。 しかしこのサービスは管理もポストネットさんがしているので、 ブログのサーバー www.bluefoun.pos.to は実はポストネットさんが提供していたものを使用していました。
blogはフォルダ名
次の blog は Windows でいうところのフォルダ名です。 ディレクトリー名とも言います。
サーバーにアップロードするファイルやフォルダの名称は自由に決められたので、 ここから右は私が自由に名称も設定できる場所になります。
フィッシングサイトの見分け方
ここまでの説明で、わかることがあります。
それは、ウェブサイトのサーバー名が「…文字列.公式ドメイン名」なら安全ですが、 「…公式ドメイン名.文字列…」の形になっているのは危険ということです。 後者はいわゆるフィッシングサイトの可能性もあるでしょう。
フィッシングサイトとは?
フィッシングサイトは本物のフリをした偽物のWebサイトです。 情報の不正入手を目的としていることが多いと思います。
使い方の例はこんな感じです。 まず「認証に失敗しました」「クレジットカードが使えませんでした」などと記載されたメールを無作為に送ります。 そのメールには有名ショッピングサイトを模倣したフィッシングサイトへのリンクを置いておきます。 そしてクリックして飛んで来た人にIDやパスワード、クレジットカード番号などを入力させて、 裏でその情報をこっそり入手して悪さをします。
英語のfishingつまり不正に情報を釣り上げるサイト…だと思っていましたが、 英語はphishingで意味は詐欺のようです。 詐欺サイトってことですね。 正しい方の釣りが趣味の方にはスミマセンが、 釣られたイメージで間違いではない気がします(^_^;
私たちは釣られないように注意しなければなりませんが、 メールの文面やサイトは、本物をそのままそっくりコピーしたものだったりするので、中身で見分けるのは本当に難しいです。 失敗とかのキーワードを見ると私も慌ててしまいます。
サーバー名の最後で見分ける
それでも見分ける方法は在ります。
例えば本サイトの新URLは https://blog.kojibm.net/ から始まりますが、 その中の kojibm.net が私が今回取得したドメイン名です。 つまり私は「好きな文字列.kojibm.net」が使えます。 そこで当ブログの場所は blog.kojibm.net にしました。 他にも https://文字列.kojibm.net/ の形なら私管理です。
しかし https://kojibm.net.文字列/ のようなサイトがある場合は、 仮に私を信用してもらったとしても安全とは言えません。 そこは kojibm.net とは無関係かも知れない、「文字列」の部分のドメイン名を所持している人や団体の持ち物だからです。
サーバー名は、何を含むかではなく、何で終わっているかを注視する必要があります。 有名なショッピングサイトの名称を含んでいるからと言って安心してはいけません。 きちんと把握できていないドメイン名、つまりサーバー名の最後が怪しければ疑ってかかるべきでしょう。
落ち着いてサーバー名を確認
焦らせるようなメールが来ても、まずは落ち着いて飛び先のURLを確認するのが大切ですね。
ただし厄介なことにHTMLメールの場合、クリックする文字列と、実際に飛ぶ先は別々に書けるので、見た目に騙されてはいけません。 それを事前に確認する方法が難しければ、メールからのクリックで飛ばずに、別の方法で正規サイトにアクセスして確認した方が安全性は高いでしょうね。 まあ面倒くさいんですが。 安全性と利便性は相反するものなので難しいです。
まとめ
サーバーを変更してブログのURLが http://www.bluefoun.pos.to/blog/ から https://blog.kojibm.net/ になりました。
20年も経てば当たり前ですがサーバー性能は向上しましたし、使用料についてはむしろ下がりましたので、結果的には変更して良かったかなとは思います。 しかしながら今まで使用させていただいていたポストネットさんには感謝です。改めましてありがとうございました。
補足
・「暗号化されるから読めない」というのは正確には、読むのに何十年、何百年かかる、というものです。さらには「その暗号が破られない限り」という条件が付きます。httpsで使用されている暗号アルゴリズムが「短時間では読めないという証明」はされていないハズです。つまり世の中には短時間で読む方法を知っている人が実はいるかも知れません。さすがにいないとは思いますけれど。・実際には kojibm.net はフィッシングサイトには利用されないだろうと思いますので、もっと有名なサイト名に置き換えて読んでください。
・ドメイン名はロリポップ!レンタルサーバーさんのドメイン無料のサービスを使用して、ムームードメインさんの仕組みで取得しました。この無料サービスは最近始まったようでラッキーだったかも知れません。
・本記事で紹介した各製品は各社の登録商標または商標と思いますが「®」「™」等の表記はしておりません。
・画像内のラスタライズ文字フォントにOpen Font LicenseのNoto Sans Japaneseを使用しております。
カテゴリー:ネットワーク
著者プロフィール
青山公士(あおやま こうじ)
中学2年生からゲームプログラミングに明け暮れる。ゲーム開発者としての代表作に「スーパー桃太郎電鉄II」(ハドソン)メインプログラマー、[PR]『ドラゴンクエストX オンライン』(スクウェア・エニックス)テクニカルディレクター/プロデューサーなどがある。[PR]「ドラゴンクエストXを支える技術」(技術評論社)著者。本ブログは今までの経験を活かしプログラミングが楽しいと感じる人が少しでも増えるようなものにしたい。 @kojibm
中学2年生からゲームプログラミングに明け暮れる。ゲーム開発者としての代表作に「スーパー桃太郎電鉄II」(ハドソン)メインプログラマー、[PR]『ドラゴンクエストX オンライン』(スクウェア・エニックス)テクニカルディレクター/プロデューサーなどがある。[PR]「ドラゴンクエストXを支える技術」(技術評論社)著者。本ブログは今までの経験を活かしプログラミングが楽しいと感じる人が少しでも増えるようなものにしたい。 @kojibm
Copyright (C) Logic Lovers Inc.