クレジットカードのWEB明細でセキュリティ警告が表示された 【VISAのVPass】ウェブサイトの信憑性の調べ方

クレジットカードは、一番セキュリティが大事です。

そんなクレジットカードに関する手続きで、「セキュリティ警告」が出てくるとびっくりしますよね。

今回は「セキュリティ証明書」を通して、ウェブサイトの信憑性の確認の仕方について説明します。

1. QRコードからWEB明細の登録をする

毎月届くクレジットカードの明細書。

ちょっと前（2020年8月）なんですが、その封筒の中に、「WEB明細」登録のお願いのハガキが入っていました。

いろんな紙の明細書が有料になっています。

ペーパーレス、デジタル化ですね。

わたしはパッと読みやすい紙も好きなんですが、だんだん「紙は高価」になっていくのでしょうね……。

三井住友VISAカードの場合ですと、2020年9月から99円（税込）の発行手数料がかかるようになりました。

ご利用代金明細書発行手数料のご案内と、WEB明細ご登録のお願い｜クレジットカードの三井住友VISAカード

ご利用代金明細書発行手数料のご案内と、WEB明細ご登録のお願い。クレジットカード情報の照会・各種お申し込みの受付が24時間いつでもOK。あなたのクレジットカードライフをサポート！

www.smbc-card.com

WEB明細の登録をすれば、この99円が不要になります。

WEB明細とその閲覧アプリVpassの登録をするために、ハガキのQRコードをスキャンしました。

スキャンしたアドレス”http://vpass.jp/wmc/“にアクセスします。

2. セキュリティ警告が表示された

すると、ここで「セキュリティ警告」の表示が……！？

え、ええ〜〜！？

一気に緊張感が高まります。

2-1. セキュリティ証明書を確認する

まずは落ち着いてセキュリティ証明書を確認します。

「サイトの名前と証明書上の名前が一致しません。」と表示されています。

どうも、Akamai Technologies社の「edgekey.net」のセキュリティ証明書が表示されています。

はて？

まさか、偽サイト……。

もう一度封筒を確認してみても、やっぱり本物です。

何かの間違いでしょう。少し様子を見てみます。

3. URLアドレスをよく見る

まずはURLを確認します。

“https://www.smbc-card.com/mem/vps/create/index2.jsp“になっています。

ということは、リダイレクトされたようです。

「リダイレクト」というのは、アクセスしたアドレスから自動的に別のURLに移動させる機能です。

よく古いホームページが移動したときなどに使われます。

移動先のアドレスは「smbc-card.com」になっています。これは、三井住友カード株式会社が登録している公式サイトです。

3-1. httpsとSSL

「https」ではじまるアドレスは、「SSL」といってセキュリティ保護された通信方式です。

「SSL」だと送受信するデータが暗号化されて、傍受できないようになります。

また、ウェブサイトがセキュリティ証明書を取得するときに身元確認と費用が必要なので、偽サイトにはややハードルが高くなります。

SSLのページは、「絶対に偽サイトではない」とまでは言えませんが、かなり信頼できます。

ただ、今回アドレスの左のマークを見ると、やっぱり鍵が外れてしまっていますね。

セキュリティ証明書が違ってますから。

3-2. さらに登録ページに進んでみる

とはいえ、このページでは入力操作そのものはないので、まだ危険とは言えません。

「登録」ページに進んでみます。

すると、ちゃんとセキュリティ保護されるようになりました。

ドメインが正しく、セキュリティも有効なので登録しても問題なさそうです。

やっぱり正しいハガキだったんですね。

4. 【考察】なぜリダイレクトされたのか？

ちなみに現在（2020年10月16日時点）の同じアドレスにアクセスしてみると、リダイレクト先は、”https://www.smbc-card.com/mem/cardinfo/cardinfo7992186.jsp“になっていました。

その時々のキャンペーンページに正しくアクセスできるように、リダイレクト機能を利用しているようです。

もし、固定されたアドレスだと、印刷した後から接続されるページを変更できません。

4-1. vpass.jpの役割は？

ちなみに、vpass.jp自体にはアクセスできませんでした。

登録者は三井住友カード株式会社なので、間違いはないです。

表示用ではなく、リダイレクト用のアドレス、ということでしょう。

4-2. Akamai Technologies社は？

最後に、セキュリティ証明書で表示された、Akamai Technologies社とは何だったのでしょうか？

ウェブサイトを確認してみます。

Akamai Technologies社は、1995年創業のマサチューセッツ州のIT企業です。

ホームページで紹介されている取引先をみてみると、三井住友カード株式会社はなかったものの、三菱 UFJ ニコス株式会社の名前がありました。

https://www.akamai.com/jp/ja/our-customers/customer-stories-nicos.jsp

www.akamai.com

他にも有名な日本企業が多数書いてあったので、いろんな会社のセキュリティなどを委託されているのでしょう。

4-3. セキュリティエラーが表示された原因は？

ここまでの情報を整理してみると、どうも登録ページのセキュリティ証明書を間違えてしまったのではないか、と考えられます。

本来 三井住友カード株式会社のセキュリティ証明書で設定すべきところを、誤って別の保有していたセキュリティ証明書を設定してしまっていたようです。

ちなみに現在（2020年10月16日時点）は正しいセキュリティ証明書になっています。

どんなにデジタル化が進んでも、最後は人間のすること。

絶対はありません。

通常はセキュリティエラーが表示されたら、それ以上は操作しない方がよいと思います。

今回は、正しいハガキにも関わらずエラーが表示されたので、偽サイトというより人為的なミスの可能性が高いと考えました。

ウェブサイトの信憑性を確認するときの考え方の参考になれば嬉しいです。

最後までお読みいただいて、ありがとうございます！

こちらもどうぞ。

クレジットカードの不正利用に気づくには？ 【クレジット明細アプリとセキュリティ】

クレジットカードって怖いよねクレジットカードで一番怖いのは不正利用ですよね。ニュースで不正利用事件について見て、クレジット明細アプリの使い方は大切だなぁと思ったので、ご紹介します。利用明細がわかるのが早ければ、詐欺被害は防げるクレジットカード決済の場合、約１ヶ月後にまとめて明細が届くので、知らないうちに悪用されて高額の請求が来るのが心配です。この「知らないうちに悪用される」というのがポイント。逆に言うと、すぐに不正利用が確認できれば、被害を防ぐことができるんですよね。スマホに...

chiilabo.com

QRコードを読み込むと、関連記事を確認できます。