企業ポータルサイトの観察

はじめに

個人的な話になりますが、私自身、数年前から本格的な癌治療を実施しています。

癌治療に関する知識が乏しい頃は、医療界の標準治療以外にも高度先進医療や健康食品などでひょっとして治るのではないかと誤った認識も持っていました。

そんな中、インターネットである健康補助食品を見つけました。今思えば、その販売サイトの広告バナーがしつこくてやむを得ずクリックしたのがきっかけです。

その販売サイトはサードパーティーCookieを使用しており、違うサイトを表示しても同じ広告バナーであおってきます。(ブラウザ設定でブロックできます)

その内容としては

 ・1ヵ月あたりの健康食品の費用は約5万円

 ・癌に高い効果があり、学会にも発表しているとのこと(厚生労働省の認可とか世の話題にもなってないが…)

 ・それにしても聞いたことのない会社が販売、製造をしている

 ・広告バナーや販売サイト、Google検索対応など、何か純粋に薬を開発して社会貢献するというよりもそういう小手先の技を生業としているような匂いがする


こういう背景を踏まえ、私に何ができるかを考えてみました。

世の中に公開され自由に参照できる情報(ドメイン情報、サイト情報等)を基にして、この企業の信頼性を個人的判断をしてみました。


私はこの企業には一切関わりたくないと判断しました。(買わないし問い合わせもしない)


あくまで個人判断なので、何等かの問題提起をするような目的ではありません。

藁にもすがるような気持ちのがん患者さんが自分で適切な判断をできるよう、その支援ができたら幸いです。



1.ポータルサイトから見えるもの

ブラウザで表示しているそのサイトが利用者が想定しているものかどうか、セキュリティは問題ないかを確認してみます。

GoogleChromeブラウザにて下記仕様でURLを指定し、ポータルサイトを表示した結果を以下に示します。

 http://www + ドメイン名 + /


一般的に、上記URLの実体ページが存在しなくても、適切なページへリダイレクトされ、起点となるポータルサイトが表示されます。


★サイトA:お手本として「ライオン株式会社」様のポータルサイト


・ブラウザ表示イメージ

・サーバー証明書内容

・会社概要




★サイトB:某健康補助食品販売企業のポータルサイト


・ブラウザ表示イメージ

・サーバー証明書内容

・会社概要



【サイトBの問題】

ブラウザ左上の南京錠のマークを見ると、サイトAは企業名が表示されますが、サイトBは「保護された通信」としか表示されません。

これは、そのサイトの所有者の実体を保証していないことを表します。(偽装、架空の企業の可能性がある)

さらに、そのサーバー証明書の内容を確認すると

 発行者:Let's Encrypt Authority X3

 有効期間:2018/7/21-2018/10/19

 証明書のパス(ルート):DST Rooot CA X3


一般的な発行機関(認証機関)で発行されたものではなく、無償のツール「Let's Encrypt」を使用して発行されたものになっています。

つまり、データ送受信時の暗号化はしますよ、その通信相手は保証していませんよという状態です。


これが、ビジネスとして「有り」か「無し」かは言うまでもありません。(企業の顔となるポータルサイトです)

また、この機能は有効期間が3か月間という制約があるので、そうなっており、今後も3か月毎に保守作業をするというその場しのぎの対応が見受けられます。


2.ドメイン登録情報から見えるもの

インターネット上のサイトを閲覧する場合、そのサイトのURLを指定したり、リンク先のURLを確認をしたりすると思います。

URLが「http://www.aaa.co.jp/」だとすると、「www.aaa.co.jp」をFQDN、「aaa.co.jp」をドメイン名と呼びます。

日本の民間企業が保有するドメイン名のグループは常識的に「co.jp」です。サービスサイト用で「com」を使用するケースも多数ありますが、企業の看板として「co.jp」の保有は必須と考えられます。(企業のポータルサイトが.comドメインだったら正直引きます…)

このJPドメインの登録情報はJPRSという機関で管理されているので、信用もついてくるのだろうと考えます。

各種登録情報には窓口担当者名や連絡先の公開も義務付けされているようです。(それに比較して「com」は管理が緩い)

そして、これら登録情報は公開されており、誰でも閲覧できます。下記はWebサイト上にて検索・照会ができます。

ドメイン名登録情報検索サービス


では、実際に照会した情報を掲載してみます。



★ドメインA:お手本として「ライオン株式会社」様のドメイン登録情報

・ドメイン情報

・登録担当者の情報


★ドメインB:某健康補助食品販売企業のドメイン登録情報

・ドメイン情報

・登録担当者情報



【ドメインBについて違和感のある点】

・登録担当者の「電話番号」、「通知アドレス」の記載が無い

・登録担当者の「電子メイル」の記載はあるが、そのアドレスのドメインが企業ドメイン(co.jp)のものではない

・「mediawoods.com」という未知のドメインアドレスがオフィシャルなメールアドレスという不自然さ