「秘密の列車でいく長津田車両工場見学会」は、応募フォームURLも秘密なのか

東急電鉄でこんな企画が。

応募はウェブ上で行うようですが、まずフォームを表示させるのが一苦労。IE7で見たのですが、こんな感じでした。

  1. ページ下部の「応募フォーム」リンクをクリックしたが、何も起こらない。
  2. よく見るとステータスバーに「javascript:void(0);」と表示されていたので、スクリプトを有効にしないと進めないと予想し、http://www.tokyu.co.jp/ を信頼済みサイトに登録して再度チャレンジ。(※私は通常はスクリプトを無効にしており、信頼済みサイトのみ有効になるよう設定しています。)
  3. 「ポップアップはブロックされました。…」となってしまったので、「ポップアップを一時的に許可」を選択し、三度チャレンジ。
  4. やっとフォームページが表示されました。

しかし、名前や住所、電話番号などの個人情報を入力させる画面なのに、アドレスバーや鍵アイコンが表示されていません。

オリジナル画像
図1参加応募フォームのポップアップ画面

一応、ドメイン名まではタイトルバーに表示されるのですが、 https://qooker.jp/ という東急のドメインとは異なるものであり、フィッシングサイトの可能性が考えられます。こういう場合(いや、こういう場合に限らないのですが)、サーバー証明書を開いて運営者情報を確認しなければなりません。

たとえば Amazon.co.jp で買い物をする場合、サインインや登録画面などパスワードや個人情報を入力する画面ではアドレスバーの横に鍵アイコンが表示され、それをクリックすると証明書を表示することができます。「詳細」タブから「サブジェクト」を選択すると、

CN = www.amazon.co.jp、O = Amazon.com Inc.、L = Seattle、S = Washington、C = US

と表示されます。このうち O が運営者名を表すため、ここがAmazonの名前になっていればフォームのあるページが本物だと判断できます。もしこの名前が別会社のものだったり、そもそも鍵アイコンが表示されなかったりすると、それは偽サイトである可能性があります。

オリジナル画像
図2www.amazon.co.jpのサーバー証明書で「詳細」を表示したところ

東急のサイトに話を戻すと、私の環境ではそもそも鍵アイコンが表示されませんでしたから、この時点でNGです。ただし、IEのセキュリティ設定で「Web サイトがアドレス バーやステータス バーのないウィンドウを開くのを許可する」が無効になっていれば、強制的にアドレスバーが表示されるようになるため証明書が確認可能となります。IE7以降はデフォルトで無効だったと思うので、鍵アイコン自体は表示されるユーザーの方が多いと思われます。

しかし、先ほどの手順で運営者を確認すると、

O = Softagency Co Ltd

と表示されました。

こういう場合、利用者は東急電鉄とソフトエイジェンシーとの関係性が分からないでしょうから、フォームが本物かどうか判断できないことになります。私はこのフォームがフィッシングサイトである可能性を疑い、応募を取り止めました。