パスワードを忘れた? アカウント作成
16759 story

yaari.com からの招待状にご注意 71

ストーリー by Masafumi Otsune
他サービスのパスワードを入力させて知人を検索する機能って便利だけど悪用できるよなぁ……と思ってたら 部門より

mumumu 曰く、

recompile.net より。GmailHotmailをお使いの方は、yaari.com と称するインド発なSNSからの招待メールがきた人がいると思う。このサイトにユーザー登録しようとすると、GmailまたはHotmailのパスワード入力を促される。実はこのサイト、入力されたメールアドレスとパスワードを利用してGmailやHotmailのコンタクトリストを盗み、盗んだメールアドレス全てに招待状を送信してしまうそうだ。こうして招待状を送信された人がまたGmailやHotmailのアドレスを持っていて登録をした場合、またコンタクトリストが盗まれてしまい、次の人へ、という連鎖が起こり現在広範囲で流行している模様だ。よって、仮にyaari.comからの招待状が届いた場合は、無視して破棄すべきである。また、間違って登録してしまった人は、コンタクトリストに登録されている人に注意を喚起するとともに、パスワードを変更することをお勧めする。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2007年12月02日 6時52分 (#1258674)
    来てましたが、、、

          Xxxxx Xxxxx wants you to join Yaari!

    Is Xxxxx your friend?

    Please respond or Xxxxx might think you said no :(

    Thanks,
    The Yaari Team

    ----

    幸いにも流れたのは内輪の方で、公開メーリングリストの方は HTML 禁止だったので止まりましたよ。

    • by Anonymous Coward
      英語ならまず引っかかることはない(どうせ読めないしorz)けど、日本語版が出来ると面倒かも。
      まあ他サービスのパスワードを聞く時点で登録する人がいるとは思えないんだけどね。

      # ん?Gmail等で別accountのパスワードを登録して使ってるような人だとそうじゃない???
      • by Anonymous Coward
        > まあ他サービスのパスワードを聞く時点で登録する人がいるとは思えないんだけどね。

        そんな事をせずとも
        「メールとパスワード登録してよ」 → Gmailのモノだけピックアップして試す
        これで十分だと思うんだけどな
  • yaari.comについて (スコア:5, おもしろおかしい)

    by yukichi (12361) on 2007年12月02日 8時09分 (#1258680) ホームページ
    yaari.comに入ってしまったクチなのですが(送っちゃった人、ごめんなさい。っていうか、このタレコミした当人から来たんだもん)、ただ、yaari.comのサイト自体は特にはりぼてでもなく、それなりに真っ当なSNSとして機能しているようです。グループやイベントの設定などといった機能が付いていて、少し見た限りでは、普通に使えるサイトのようです。

    なんで、メールバラまき作戦は、マーケティングというか、運用ポリシーなのかなぁ、と。それはそれでチェンメが止まらず迷惑なのですが。
    • by elderwand (34630) on 2007年12月02日 9時31分 (#1258693) 日記
      よく、初心者向けに「知らない人からのメールに反応しないように」とか書いてあるんだけど、ウィルスは、感染者のアドレスブックやメール履歴を利用して感染を広げようとするのだから、「知ってる人から」来るわけだ。

      今回も似たようなケースなので、「知り合いからのメールでも疑ってかかりましょう」と、付け加えないと(いや、こっちが先?)いけませんね。

      そういう意味では、メーリングリストだって「会員以外は投稿お断り」にしただけでは安心できません。HTMLはお断りとか、添付はお断りとかしておかないと。

      #ビジネスでは、最近ますます添付が増えてきてる気がする。

      親コメント
      • そのうちメールアドレスのspoofingを禁止できるプロトコルが登場するのでしょう。
        # ほんとうか?
        --
        旅に出ます.(バグを)探さないで下さい.
        親コメント
      • by Anonymous Coward on 2007年12月02日 18時58分 (#1258794)
        もともとウイルスもOutlookかなんかのアドレス帳見て送信していたのでしょう。
        そんなわかりきったものに引っかかっている人達、笑って謝られても、もうどうしようもないね。
        自分が被害広げているという認識がないんだねぇ、こういうひとたち。ちゃんと後始末しようとしないし。
        大事なメールないからいいや程度で済まそうとするのは何様なんだか。

        そういうシステムを放置している人たち、もたくさんいますが。
        親コメント
    • Re:yaari.comについて (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2007年12月02日 18時00分 (#1258789)
      さらに、
      >コンタクトリストに登録されている人に注意を喚起
      で、注意喚起のチェンメが止まらない。
      親コメント
    • by Anonymous Coward
      yaari.comに入るのは構わないと思いますが、GmailやHotmailのパスワードまでほいほい入力してしまう感覚が理解できません。
  • by hohehohe (11394) on 2007年12月02日 8時39分 (#1258684)
    メインの下の方にあるPrivacy押すと使用許諾が出てきました。
    D) Privacyのところ

    The Add Friends feature is an easy way for Yaari users to invite friends through email. The email address(es) that you supply to use this service will only be used to send invitations to connect with you on Yaari. By registering for the Yaari website, and by giving Yaari member's email address and password, a member agrees to the Terms of Service and consents to allow Yaari to automatically send an email from the member to member's contacts, encouraging member's contacts to register for the Yaari website. Invitation emails will be sent on member's behalf, with the 'from' address set as member's email address. Yaari will never store member's email password.

    Yaariに加入すると自動的にemailを送るのに同意することになるんだって。
    --
    AVG anti-virus data base out of date
    • Re:使用許諾の該当箇所 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2007年12月02日 9時58分 (#1258700)
      > --
      > 自主規制同好会入会受付中

      yaari.comさんもお宅の同好会に入会させて、とんでもない使用許諾を自主規制させてください。
      親コメント
  • 逆orz (スコア:4, おもしろおかしい)

    by Anonymous Coward on 2007年12月02日 9時52分 (#1258698)
    お友達がいないせいか、全く来ません。絶望的です。
    • by Anonymous Coward
      メールアドレスなんて飾りなんです。れっつ削除
      #SNSなんて会員制不正回覧サイトなんてさらに用無し(を
  • 知り合い名義の招待状 (スコア:3, すばらしい洞察)

    by virtual (15806) on 2007年12月02日 7時30分 (#1258677)
    要するに招待状をもらった人にはマヌケな注意不足な知り合いがいるってことですね。
  • by Sakura Avalon (12557) on 2007年12月02日 13時31分 (#1258742)
    あらぁ?しばらく前にサイトは違うけどまったく同じような事件が起きてなかったっけか?
    …と思ったら、/.Jで見たのじゃなかったかも知れません。検索しても出て来ませんし。

    という事で以前起きていた事件もリンクしておきます。
    スパムSNS? 「Quechup.com」の危険度 [atmarkit.co.jp](@IT)
    Quechupがなんだかすごい勢いで嫌われてる件 [h-yamaguchi.net](H-Yamaguchi.net)

    #しかしこの時にさんざん叩かれていたのに、同じ事を繰り返すとこが出てきてその方に驚いた…。
    #今でも件のサイトは健在なので「この手は、うちもイケる!」と思ったのかもしれませんが。
  • ID=メアド(オフトピ) (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2007年12月02日 7時42分 (#1258679)
    一般的なサービスでもIDとしてメアドを使う
    サイトって多いけど、サイト用のパスワードと
    メール用のパスワードが同じ人って結構多そうだよね。

    あれってそのうち問題にならないのかな。
    もし何かあったら利用者の不注意で片付けられるのかな。
  • 未来的な罠 (スコア:2, 興味深い)

    by Anonymous Coward on 2007年12月02日 8時36分 (#1258683)
    OpenIDが本格的にはやり出したらこんな罠にひっかかりそうな気がします
  • しかし (スコア:2, 興味深い)

    by zozbug (9256) on 2007年12月02日 15時46分 (#1258769)
    今回はパスワードを入れるってことで警戒心の強い人はひっかからなかっただろうけど、
    パスワードって数パターンを使いまわしてる人って結構多いと思うんですよ。
    最近は特に8文字以上英数字混在せよってところが増えてるし。そんなのいくつも覚えてられない。

    その辺をデータベース化して利用できる他人のアカウントをどんどん増やすサイトって作れそうで怖い。
  • 最近は正常なサービス(?)でもPOP3などでメールを取り寄せるためにパスワードを聞いてきたりするので、油断できないspamですね。

    やはり、パスワードの預け方の基準はサイトの信頼性によるのでしょうか。

    ちなみに、私はハックされてもよいサービスのパスワードしか預けないことにしています。
    --
    旅に出ます.(バグを)探さないで下さい.
    • by Anonymous Coward on 2007年12月02日 14時32分 (#1258760)
      サイトの信頼性は当然のことですが、
      それと同時に「他サービスのパスワード」なんてグレーなものを求める
      「目的と必然性」の確認も怠ってはなりませんね。
      まあサイトの信頼性の要件に目的と必然性の説明責任も含んだ上での話かもしれませんが。

      もっとも、そういう目的も必然性も、そもそも理解できないしようとしない、
      そんな人達がたくさんいて、きっとネットのユーザーの大半を占めてるんでしょうけどね。
      ○○で(他アドレスのメール見るために)パスワード入れるのは良くて、
      なんで yaari に入会するときは入れちゃダメなの?
      (説明しても)なにそれ、理解不能、意味不明、おかしーんじゃない?
      みたいな
      親コメント
      • by Anonymous Coward on 2007年12月02日 19時57分 (#1258800)
        > ○○で(他アドレスのメール見るために)パスワード入れるのは良くて、
        > なんで yaari に入会するときは入れちゃダメなの?

        むしろ、以前とは違って「ふむ、サイト間連携か、これがWeb2.0なんだな」と思ってしまう人が増えたような
        親コメント
    • by hohoho (14727) on 2007年12月02日 17時07分 (#1258785)
      こんな内容のスパムメールがきたらどうしよう
      親コメント
    • POP3メールを出先からチェックできるWebインタフェースを作ったので、オープンソースソフトとして公開しようかと思ったのだが、普通こういう感じでパスワード預けることしないよなぁ。で、公開見送り、一人楽しく利用している。
      でも、世の中には、パスワード預けちゃって平気な人が結構いるみたいですね。
      という、自分も、自分のノートにはパスワード預けまくりなので、紛失したら被害甚大か。
      親コメント
      • by Anonymous Coward on 2007年12月02日 15時30分 (#1258766)
        オレオレ証明書なんかで騒ぐような理屈っぽい方々でも、
        生HTTP垂れ流しのこういうおばかな手口には引っかかると。
        セキュリティはいつも人間ってのを改めて感じますね。
        親コメント
        • by Anonymous Coward on 2007年12月02日 20時23分 (#1258804)
          「オレオレ証明書なんかで騒ぐような理屈っぽい方々」と
          「生HTTP垂れ流しのこういうおばかな手口」にハマる人たちを
          どういう観点から同一人物だと見なしたのか興味深いです。

          スラド住人のすべてがオレオレ証明書で騒いでわけじゃないし…

          むしろ、このような手口に引っかかってしまった方々は
          おそらくオレオレ証明書の件でも騒いでいないのでは。
          親コメント
      • オープンソースとして公開するのなら、自宅サーバなどで使いたいという人は結構いると思いますよ。
    • by Anonymous Coward on 2007年12月02日 9時24分 (#1258691)
      誰がどう使うのか、意図がさっぱり分からないけど(ここに "預けてもいいパスワード" ってナニ?)、 こんなのもあるらしい
      パスワードの受け渡しサービス「パスワードメッセンジャー」
      http://internet.watch.impress.co.jp/cda/news/2007/08/10/16612.html [impress.co.jp]
      親コメント
  • by Anonymous Coward on 2007年12月02日 8時16分 (#1258681)
    yaariって何語?翻訳して日本語で何と言う意味?
  • zorpia.com (スコア:1, 参考になる)

    by Anonymous Coward on 2007年12月02日 19時10分 (#1258797)
    半年ぐらい前に似たようなサービスからメールが来ました。
    海外サイトを回って見た感じyaari.comと同じようなサイトのようです。

    私のメッセンジャーは100人超いるので、
    しばらく話してない人なだけにものすごく怪しくてスルーしたのですが。

    //私が引っ掛ったら・・・と考えるとオソロシイ
  • by Anonymous Coward on 2007年12月02日 11時07分 (#1258712)
    不正アクセス禁止法違反でしょっぴけないの?

    アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
  • by Anonymous Coward on 2007年12月02日 11時30分 (#1258721)
    mixiに良く似た名前のあやしげなSNSから時折勧誘のメールがとどきますが、知り合いでもなんでもありませんからそのまま廃棄していますが、知り合いからだと捨て置くわけにも行かないんでしょうねぇ。
    でも、ウィルス対策では知り合いであろうと用心するのが当然なのですから、まぁおバカだったということで。
    • by Anonymous Coward on 2007年12月02日 14時00分 (#1258748)
      >ウィルス対策では知り合いであろうと用心するのが当然

      怪しげな添付ファイル付きのメールだと差出人詐称を疑うのにSNSの招待では疑わないって、本質的に解ってない証拠だよね。
      単に世間でそう言われてるから添付ファイル付きには気をつけてただけで、理解してたわけじゃない。

      知人との世間話などのやり取りの中で「こんなSNS入ってるけど興味あるなら招待しようか?」って前振りがあったら登録するけど、何の前振りもなくいきなり送られてきたものなら、まず確認するよね。「なにこれ?」って。

      メールについて啓蒙する側にもなにかしらの問題があったんだろう。
      親コメント
  • by Anonymous Coward on 2007年12月02日 11時41分 (#1258725)
    ケータイメールあたりがTargetになったとたんに、一気に増えるのかな?
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...