フィッシング詐欺対策ソフトを導入する銀行が登場 114
ストーリー by Oliver
このソフトも騙せば.... 部門より
このソフトも騙せば.... 部門より
Anonymous Coward曰く、"欧米で深刻な被害が出ていて日本にも本格的に到来するのではないかと心配されている「フィッシング(phishing)」詐欺。9日の朝日新聞の報道によると、UFJカード、東京スター銀行、クレディセゾン、JCBカードなどが相次いでフィッシング詐欺対策ソフトの導入を決めたそうだ。記事によると、「カード利用者らはソフトをダウンロードすれば、偽のHPかどうかを瞬時に判別できる」とのこと。無料で使用できるのでUFJカード、東京スター銀行などのトップページから誰でも試すことができる。WindowsのIE専用となっているのが残念だが、こういったソフトはどのくらい効果があるものだろうか? スラッシュドットの皆さんはこれを使いますか?"
UFJカードのプレスリリースによれば、ここで導入されるソフトはnProtect: Netizen。あらかじめ正規のサイトのIPアドレスをこのソフトに登録しておくことで偽サイトを判別するという。
『セキュリティ商社の餌食になる思考停止事業者を自衛 (スコア:3, 参考になる)
さっそく突っ込まれていますが。
Re:『セキュリティ商社の餌食になる思考停止事業者を (スコア:3, すばらしい洞察)
(1)装った疑いのあるメールが届いた場合、
(2)東京スター銀行のサイトにアクセスしてからnProtect Netizenを起動する。
(3)その後、 別のブラウザを立ち上げて
(4)メールに記載されているURLを開くと、
(5)正規のページでない場合には「東京スター銀行とは関連のないホームページにアクセスしました。」というメッセージダイアログが表示される。
とかいてある。
メールフィッシングにひっかかる人だったら、多分(2)(3)の動作をする前に、(4)の動作をやってしまうから、検出できないんじゃないのか。
それに「別のブラウザを立ち上げて」という条件もうっかりすると忘れそうで厳しい。
Re:『セキュリティ商社の餌食になる思考停止事業者を (スコア:1, 興味深い)
という添付ファイルつきメールには、どう有効なんだろう…。
Re:『セキュリティ商社の餌食になる思考停止事業者を (スコア:2, すばらしい洞察)
「責難は成事にあらず」(小野不由美著『華胥の幽夢(ゆめ)―十二国記 [amazon.co.jp]』) とは申しますが、それは全く対案を示さずに完全批判オンリーな某政党のようなものに適用される言葉であります。
まぁ、個人的にはこの人の事を好きになれませんけどね。理由はWinny周辺への批判については、感情的でかなり的外れな物が多かったという理由なんですけど。
--- どちらなりとご自由に --- --
Re:『セキュリティ商社の餌食になる思考停止事業者を (スコア:0, オフトピック)
批判に至る理論が仮に正当であったとしても、
その指摘の仕方に問題があると、それに反発する人々が現れる。
そのような人々が増えると、その反発こそが主題となってしまい、
元の批判や理論に対する注目は薄れてしまう。
Re:『セキュリティ商社の餌食になる思考停止事業者を (スコア:0)
ひろみちゅタンを見にセミナーに参加してみたけど、物腰が柔らかくて
「皇太子殿下がフィッシング詐欺に興味を持たれたようです」
みたいな感じでした。
時間内におさまらなかった質問にも、セミナー後に親切に対応して
もらったしね。
で、そのときの態度と、日記のギャップを見て楽しむ、と。
変な業者にカモられてる? (スコア:2, 興味深い)
正規のサイトを開いたならメールのURLから辿る必要などないですし。
あれ?指示どうりの使いかたをしたとしても、最初に正規のサイトを開いたときそれが正規のサイトかどうかってどうやって確認するんだろ?
トップページへアクセスするのにSSLは必要ないみたいだし。
防げていないものを「防げます」と言ってしまうと、根拠のない安心感を与えて、不用意に信用してしまう人をさらに危険に陥れてしまうように思う。
Re:変な業者にカモられてる? (スコア:2)
偽メールの偽URLをクリックするくらいなんだから....
優遇金利などのサービスの案内メールやお知らせメールの送信元メールアドレスのユーザー部分は、秘密鍵と送信先メールアドレスとSHA1などの一方行ハッシュ関数を使って、一意性のあるメールアドレスにして、メールクライアントで仕分け登録して貰った方が安全の気がする。(データベース使うのでも良いけど)
新着の優遇サービスとかをトップページ等からリンク張らない所はメールでの直リンクを当てにされると思う。
Administrator権限 (スコア:2, 興味深い)
一番守らないといけないといけないのは、一般ユーザーなんじゃ…
#あ?なんだかんだで結局みんなAdministrator権限なユーザーで使っ(ry
#ごめんなさい。自分もAdministrator権限でやってますorz
Re:Administrator権限 (スコア:2, すばらしい洞察)
それにしても、こういう対策は「実用性や実効性には疑問があるものの」顧客に対して会社のセキュリティ姿勢を見せる事と「危ないんだからとにかく気をつけろ」と注意を喚起するのには良いと思います。…が、今度は「○○様、UFJ銀行は新たなセキュリティソフトを導入しました。つきましては以下のリンクをクリックしてダウンロードしてください。あ、導入はAdministrator権限でよろしく~☆」とか書かれた妖しいメールが届いて、うっかり導入するとまあお馴染みの展開が…。
#自分自身は仕事柄Admin権限で動作させなければならないことも多いため危険性などもすべて承知の上で常にAdminで使ってますが、それが普通の使い方だとは思っていません。ましてや日用ユーザー向けならば尚のこと。
Re:Administrator権限 (スコア:2, 参考になる)
マジレスですが一般ユーザーで使ってる限り最近のWindowsはかなり安全になってます。こういう風に一般人を騙くらかしてスパイウェアを喰わせようとしても、そもそもActiveXコントロールのインストールがIEの設定にかかわらず一切できませんし。
問題は大半の個人PCにおいてはその一般ユーザーが管理者をも兼ねなくてはならないことですが。
専用クライアントではだめなのか? (スコア:2, すばらしい洞察)
WEBアプリを作る側からも自由度が高すぎて右クリックを禁止したくなるし、セッション管理をちゃんとできないなどの不便な点が多すぎる。
もし、どのOS/ブラウザでも使えますというなら良いけど、特定の環境のみ対応ならWEBにする必要ないと思うのだが、、、(ブラウザが最初から入っているという利点以外に)
Re:専用クライアントではだめなのか? (スコア:1)
そもそも、右クリック禁止って何を目的にしているのか疑問。
微妙 (スコア:1)
Re:微妙 (スコア:1)
使っているIP自社管理のものではなくがホスティングサイト(広告代理店)のものを借りていた場合には
どうするんでしょう。
サイトの開設場所が変更になったときに、重要なお知らせというダイアログが開いて、
「IPアドレスが変更になりましたので、変更をお願いします。」とでたら、信じていいのでしょうか。
Re:微妙 (スコア:2, おもしろおかしい)
起動時にActiveXスクリプトで指定されたファイルを設定ファイルとして自動的に読み込んでアップデートする仕組みになっています。
設定ファイルの中身がどうして信用できるのかは、解析が禁止されているヒミツのテクノロジーなので調べていません。
ちなみに、ActiveXコントロール自体は「スクリプトを実行しても安全だとマークされているActiveXコントロール」なので、どこからでも起動できますし、外部から観測した限りでは、設定ファイルとして指定したファイルをGETする様ですが、実際に何が起きているかは、解析が禁止されているヒミツのテクノロジーなので調べていません。
何かまずいことが起きている様な気もしますが、解析が禁止されているヒミツのテクノロジーなので調べていません。
Re: 微妙 (スコア:1)
Re: 微妙 (スコア:1)
「DNSポイズニング」という攻撃手法には大別して2つの方法があり、一つはDNSサーバーに虚偽の情報を流すというもので、もう一つがクライアントのhostsファイルの書き換えをするというものなんですよ。詳細はぐぐってください。
IPアドレスを登録しているからとりあえずこの点だけは問題ないというのは別レスで指摘されて納得です(というか資料全部読んでないのがバレバレ)。
Re: 微妙 (スコア:2, 参考になる)
「ホスト名とIPアドレスの対応を騙す」という攻撃として、よく使われる方法が2つあり、
一つはDNSのサーバに虚偽のホスト情報を送り込んでキャッシュさせる「DNS cache poisoning」というもので、
もう一つが、クライアントのhostsファイルを書き換えるというものです。
hosts書き換えもDNSポイズニングと呼んでるとこもよく見かけますが、
それは、ワームとかスパイウェアのことまで引っくるめてウィルスと呼ぶようなものですね。
Re: 微妙 (スコア:1)
多謝.
Re: 微妙 (スコア:1)
>定義についての認識が間違っていたということでしょう。
どうもそんな感じですね(爆)。
文字通り偽(間違い)情報に釣られた格好か。
自爆の反省だけじゃアレなので、せっかくだからDNSポイズニングとhosts書き換えの誤用について事例を記録しておこう。
ぐぐったら、トップにきたSecureVM for AntiPhishing Q&A [securevm.com]では最初の私が書いたとおりの誤用定義で、前のレスでの誤用タイプの説明もちょうどいいやと割とここをぱくったものだったりしますね。安直なことしちゃいかんね>自分。
3番目くらいのIT Proの記事 [nikkeibp.co.jp]はとりあえず分けて書かれているものの、箇条書きではないので、2つまとめてDNSポイズニングだと取り違える人はいるかも(というかここにいた)。
ITMediaの記事 [itmedia.co.jp]では、「ほとんどのファーミングは個人のPCレベルでDNSポイズニングを利用している(ローカルホストファイルにエントリを追加するなど)。(以下略)」と誤用の発言が載っている。原文も同様なので訳ミスではないようで。
あと、Wikipedia(J)見ると、ファーミングはあるけどDNSポイズニングがないという(いやまぁなければテメェが書けよという話ですが)。
Re: 微妙 (スコア:1)
定義は固まっていないようなので、スラド国民投票で決着つけてほしいです(嘘
pharming の定義 (スコア:2, 参考になる)
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/ [nikkeibp.co.jp]
まさしくここで議論になっているような、DNS poisoning や hosts ファイル書き換えで偽サーバーに誘導する手口を指すものと思っています。
Re:pharming の定義 (スコア:1, 参考になる)
Phishing のうち DNS poisoning や hosts ファイル改竄を用いた手法を特に Pharming と呼んで区別する者もいる。
といったところですか。ありがとうございました。
Re: 微妙 (スコア:1)
いきなり間違った知識と言われても困りますけどね。
私もマヌケなこと書くことはありますが、今回のは違うと思います。
Re:微妙 (スコア:0)
Re:微妙 (スコア:1)
Re:微妙 (スコア:0)
当然対応できない。なぜなら、このソフトを起動するためにまず本物サイトへ、ブックマークとかで一旦行かないといけないんだから。
> ホスト名では
Re:微妙 (スコア:1)
2)httpsによるアクセスが行われる。
のどちらかを行う事で対応できます。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
トリビア風に (スコア:1, 興味深い)
さっそくダメぢゃん。
Re:トリビア風に (スコア:3, 興味深い)
では……改めてこちらをご覧下さい [nantoka.com]
--- どちらなりとご自由に --- --
あまりにだめだめ (スコア:1, 興味深い)
SSLでのドメイン名確認方法の強調)をしないで、こういう
あさっての方向に走ってしまうんでしょうね。
東京スター銀行の場合、たとえ SSLで
https://www.tokyostarbank.co.jp/
にアクセスしても、このnProtectサービスへのリンクは
http://nprotect.netmove.co.jp/service/npnv4/tsb/npro_start.php
のようにSSLを使わずに辿ることになります。
つまり、ここでDNS poisoning とかされてたら、偽の詐欺対策ソフト
を sandbox による保護なしに起動することになりかねず、安全どこ
ろか、顧客のPCの不正な乗っとりのための仕組みを、わざわざ提供
していることになりかねないのでは?
Re:あまりにだめだめ (スコア:1)
証明書もドメイン名も横文字ばかりでめんどくさいという人も多いと思います。
証明書に画像(ロゴ)を入れられるようにして、ブラウザがそれを発行者のロゴと一緒に表示するようにすればいいのに。
ロゴは似たようなのが多いから難しいか。
儲からないからさ (スコア:0)
儲からないからさ。
正しい対策方法で売り込んだんではどうやっても儲けが出ない。
金にもならない本当のことを説いてまわる奴なんていない。
世の中はボランティアじゃなくてビジネスで回ってるわけよ。
Re:儲からないからさ (スコア:1)
それで「顧客を守」れるかは別のハナシ。
大体、それで完全に顧客を守れたりしたら、
ビジネスがループしないじゃないですか!!
「完全な製品を提供しない」、もしくは「完
全な製品が提供できない」ことは経済活動に
非常に大きく貢献していると思いますよ。
ま、国を始めとした非営利団体が、「製品は
ある機能を提供しているに過ぎない」という
ことをもっと啓蒙するべきだとは思いますが。
ソフト名が (スコア:1)
えらく斬新なネーミングだと思ってしまいました...
Re:HP(スコア:-1オフトピック) (スコア:1, おもしろおかしい)
Re:HP(スコア:-1オフトピック) (スコア:1)
Re:HP(スコア:-1オフトピック) (スコア:1)
ということ?
Re:HP(スコア:-1オフトピック) (スコア:0)
Re:HP (スコア:1, すばらしい洞察)
それはhpの様な気も。
HPのHP (スコア:1, すばらしい洞察)
少なくとも言えることは、
- 「HP=Hewlett-Packard(ヒューレット・パッカード)」は日本人には定着してない
- 「HP=ホームページ」と思ってる日本人は多い
ってことなんでしょうね、きっと。# 「Hewlett-Packardという会社を知っている人は、『HPのHP』なんて書かない」というツッコミは無し。
Re:HPのHP (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
Re:HPのHP (スコア:1)
全然正しくなかったので調教しときました。
1を聞いて0を知れ!
Re:やはり (スコア:2, 興味深い)
#個人的には不要なんだけどなあ……
Re:やはり (スコア:1, おもしろおかしい)
「このたび、ホームページを開設いたしました。つきましては・・・・・・」
Re:やはり (スコア:2, すばらしい洞察)
それに対して「キャッシュカードを必要としている方は大勢います」という文句は聞いたことがありません。
セキュリティのため net banking はしません、という口座も、あっても良いのかもしれません。
銀行そのものが「ページを持ちません」は、成り立たないかもしれませんが、
「ネットバンキングできません」という口座程度ならできそうな気がします。
#私にとっては必要なんですけどね (^^;
Re:やはり (スコア:1)
いいだけなのでは?
それとも口座開設すると *もれなく* ネットバンキング用
アカウントが付いてくるんですかね..
Re:三井住友はもっと。。。 (スコア:1)
# 今回の話題とは直接関係ないな
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:なんでログイン画面のURLを消すんだ! (スコア:1)
読めないんですけど....なんで画像なの?しかもこの大きさで読めると思っているの?
しかも分割画像....
末端の作業した奴は変だと思わなかったのか?
テキストで書いた方が良いとは思わなかったの?
上に上げて方針を変更させるシステムが無いんだろうな。と思ってしまう。