Tokyo Insider Dev Tour という多分 Microsoft のイベントがあって微妙に興味あったんですが、イベントサイトが気に食わなかったために登録しませんでした。
簡単に言うと、サイトの正当性を確認しにくかったからです。
イベントサイト
まずイベントサイトを開くとこれです。
insiderdevtour.com
とは一体……
whois を見ればどうやら Microsoft のドメインらしいことがわかりますが、普段はそんなところまで確認しません。
証明書は Microsoft の CA が発行しているようですが、それだけでは Microsoft のサイトである証明にはなりませんし、証明書の確認は本来する必要のない行為です。
microsoft.com
という立派なドメインを持っているのですから、insiderdevtour.microsoft.com
とかにすれば Microsoft のドメインであると一発で分かるのに。。
おまけに主催や問い合わせ先等の情報が一切ありません。
このページは一体何者なんだ……
登録サイト
そして「登録」ボタンから登録しようとすると遷移する登録サイトがこれです。
eventcore.com
とは一体……
フッターを見ると
This site is hosted for Microsoft by eventcore®
とか書いてありますが、そんなのは自称でしかありません。
恐らく委託してるんでしょうけど、それならばリンク元に委託している旨を書くべきですが、何の記載もありません。
サイトの正当性は容易に確認できるようにすべき
Microsoft からメールで案内されている点、社員が SNS 等で発信している点等を加味すれば正当なサイトであろうことは状況から推測できます。
しかし本来はサイト単独で、ドメイン名や EV SSL の所有者表記等を用いてその正当性をひと目で分かるようにすべきです。
Microsoft という世界的大企業の、しかも世界ツアーのイベントでありながらこのような雑なイベントサイトであることにがっかりしたため、登録するのを止めてしまいました。
このような雑なサイトが蔓延するほど、フィッシングサイトを見抜く手段が失われていくんですよね……