三菱東京UFJ銀行のフィッシングに対する緊急警告文、何に対して緊急なのか!?という疑念

三菱東京UFJ銀行のトップページにデカデカと貼られた緊急警告文が下品だと、Web業界の人が嘆かれております。ティッカー(マーキー)という昔ながらのホームページの手法も取り入れられているのも、それはそれは評判が悪いわけです。多分、多くのWebの人は、これを想像していたのではないかと思います。

その中で、冷静な分析をされたWebデザイナーであるヤスヒサさんのblogに、こういったイレギュラーの対応に対する運用の難しさが書いてありました。

なぜ緊急時になるとデザインが崩れるのか : could

一般論では確かにそうなんですよね。

が、ですね。三菱東京UFJさんは、前からこの不正アクセスに対しては認識されておりまして、既にお金をかけて色々対策済みだったハズです。

【三菱東京UFJダイレクト】お振込の取り扱い・振込限度額の引き上げ方法等を変更します。

この件について、封書でDMまで送って来られていてお疲れ様です。

にも関わらず、この警告文が追加で掲載されたのか!?

まず最初に上司やその上からのクレームへの緊急対応だったのではないか!?というのは邪推してみたくなることです。

Webサイトをどうやって管理していくか、というのは何せビジュアルに影響する話ですから、多分に主観的な要素もあります。

「天からの一言」で、今すぐやらねばならない、ということは、どんな組織でも当然発生してしかるべきで、とにかく目立つようにしろというのは、仕方ないんじゃないでしょうかねぇ。

もう1つは、被害が拡大している可能性。

私のネットサービスでの経験からすると、いくらWebサイトにメッセージを出したところで、アクセスするユーザーさんが、その気にならなければ、目的に関係ないと思われていることは完全無視されます。

いくら作り手が「画面に表示してる」つもりになってても「自分は問題ない、自分は関係ない」と思っていることは見事にスルーされます。だから、相当、しつこくやらないと伝わりません。

その文言が、ようやく目に入ってくるのは被害を受けてからだったりするわけです。

そもそも三菱東京UFJさんのサイトは、トップページの次の「ログインページ」には青バックの警告画面があったわけですから、さらにトップページにまで、こういう対応が追加で出てくるには、それなりの追加事情があるのではないかと思うわけです。

それに「きれいなデザイン」というのは、「調和の取れた」デザインなのですから、警告になりえないわけですし。警告したければ調和を乱す必要があると思うんですよね。

更に言うと、この警告文、相応に手間をかけた成果物ではないかと思うのです。元となるパワーポイントがあったんじゃないかとは想像したくなるデザインではありますが、マーキー(ティッカー)を実装したと言っても、JavaScriptでわざわざやってるわけですし。ちゃんと作られてると思うのですが、中の方、どうなんでしょうか!?

ソースまで見てみると元々、災害時等に用意された機能のような気もしなくもないです。ちゃんと調べてませんがCSSの定義だって存在するようですし。

<!-- 緊急表示用--> <div id="import">

私は、この処置が間違っていると嘆くWeb制作界隈の人のほうに違和感を感じます。

みんなが違和感を表明したくなるぐらい高い効果の警告文だったということで、少しは被害が減ると良いですね。

それよりも私が思うのは、三菱東京UFJさん、メールにURLを書くのやめたほうがいいと思います。フィッシングの流れはHTMLメールから「別ドメイン」に飛ばすのが原因なのですから。

「いつもと同じメールの体裁」でURLをクリックされたら違うサイトに飛ぶわけですから、いくらWebサイト側をがんばっても、やっちゃう人も出てくると思いますけどね。

利便性とセキュリティ性はトレードオフです。もちろん、それで困るユーザーが出てくるのはわかります。それにメールからサービスに誘導できなくなるので、今後の営業にも支障がでるかもしれません。何より一度URLを取っ払うと、復活させるのが難しくなるので、ビジネスサイドの人で抵抗する人が出てくるかもしれません。

しかし、いくらWebサイト側で対策を取っても、偽メールから偽サイトに誘導されれば終わりですからね。

「不正なURLのリンクを開かないでください」

ではなくて、

「当行からのメールには、当WEBサイトへのリンクがありません。リンクがあるメールは全て偽物です」

の方がわかりやすいと思います。

もし顧客保護を最優先になされるのであれば、是非ご一考を。

と、正論でごめんなさい。何故、いつまでもメールからURLが消えないか!?ついては、そこで起こりうる議論は大体予測つきますが、そうは言ってもHTMLメールはタチが悪いと思っています。

メールに記載されている見た目のURLが正しいURLなのに、クリックしたリンク先URLが虚偽というのは、明らかにHTMLメールの仕様のミスです。私もつい騙されそうになったことがありますが、ここに足を引っ張られるのは全くもって得策ではないと思います。

あわよくば、こんな話を通じてでも、多くの人にフィッシングサイトへの意識が高まれば幸いです。私も財産を失わないように気をつけなきゃ!

【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!(平成26年3月8日更新)。| 三菱東京UFJ銀行