メールアドレス流出に便乗してフィッシング発生 48
ストーリー by kazekiri
ふんだりけったり 部門より
ふんだりけったり 部門より
Anonymous Coward曰く、"「IT保険ドットコム」のニュースによると、外為取引サービスのジェイ・エヌ・エスが、オンライントレードシステムに発生した不具合を利用者へ案内するメールを発信した際、Bcc:を使わずに送付先の全員をあて先としたため、メールアドレスなどが他のユーザに流出するという、よくある事故を起こしたところ、それを受信したユーザとみられる人物が、ジェイ・エヌ・エスの偽サイトを設置して、他のユーザをそこに誘うメールを流したらしい。
ジェイ・エヌ・エスの公式発表「偽サイトについて」によると、掲載されているキャプチャ画像のような偽サイトが設置されていたとのことで、後に偽サイトは「今回の悪戯につきまして」と題した謝罪文に差し替えられたという。また、同社の「緊急のお知らせ」(PDF)に、その送信された偽メールの内容が掲載されており、流出した被害者にメールアドレスの変更を促すとともに、認証用キーのバックアップファイルをメールで送信するよう促すものだったようだ。
その後の対応についてジェイ・エヌ・エスは、「経過報告書2」と「個人情報漏洩に関する対応についての最終報告」の文書を発表している。"
これって結局どうなったのかな (スコア:2, 興味深い)
偽ヤフー事件を知っていて、その犯人が逮捕されたことも知っている。
その一方でライブドアのように世間の注目を集めるような騒ぎを起
こして楽しみたい。
この二つの思考に関連性が存在していないのか不思議というより不気味です。
家族に迷惑がかかるとか逮捕されないか怯えてるって、その家族と一緒に自首することをお勧めしたいですね。
ってプレスリリースは九日付けか。
でも逮捕されたっていう報道も記憶にないので結局この事件はどのような結末になったのでしょうか。
事故じゃないよな (スコア:1, 興味深い)
もういいかげんにこういうのは故意扱いしていいんじゃないの?
Re:事故じゃないよな (スコア:5, 参考になる)
やはり、今回のようなケースではMLを使うか1通ずつ送信するツールを使用しないと危険です。
そんな訳でうちの会社では、基本的にBCCでの送信は禁止されています。
#個人的に敢えて使う場合は、「BCCはアドレスを隠せない(宛先の他の人に知られてしまう事がある)」というつもりで使っています。
Re:事故じゃないよな (スコア:2, すばらしい洞察)
>やはり、今回のようなケースではMLを使うか1通ずつ送信するツールを使用しないと危険です。
それは BCC を送ってしまうバグのある UA が悪いんじゃないんですか。
送信先アドレスを漏出してしまうバグのあるMLやツールがあったら同じことに。
#そのバグ UA が OE だから問題なんでしょうけどね :P
Re:事故じゃないよな (スコア:1)
そのバグの UA が OE だったら問題ないんでしょうけどね。
Re:事故じゃないよな (スコア:2, 参考になる)
全体通知はこのML宛に送付しろって運用のがユーザーも管理側も楽だとおもうんですけどね
新規ユーザー登録と共にMLに自動登録するようになってれば通知漏れも少なくなるでしょうし
発信者は社内からのみ&モデレート有りとかにしておけば
誤送信も防げて良いと思うのだが
数十人以上にBCCで送付とか、かなり面倒だと思うんですけどねぇ
当該企業の再発防止策 (スコア:2, 興味深い)
Re:事故じゃないよな (スコア:2, すばらしい洞察)
バグのあるソフトがあったことを理由に、それに影響されることをするのは危険というのはおかしいんじゃないの?
そんなことを言い出したら、
メンバーリストが取得できてしまうMLもあるので危険とか、
1通ずつ送信するツールにも、バグのあるものがあるので危険とか、
いくらでも言えますよ。
重要なのは、安全かどうかを確認して使うことでしょ。
> そんな訳でうちの会社では、基本的にBCCでの送信は禁止されています。
この場合は、「Outlook Express 6」でのBCCの使用を禁止にすればすむことじゃない?
Outlook Express における Bcc の扱いに関する欠陥 (スコア:2, 参考になる)
Re:事故じゃないよな (スコア:1)
私の職場は、コンピュータ系でもアレゲ系でもないので、
このことを知らないのか、無頓着なのか、
発信者だけに返事したつもりのメールをしょっちゅう読みます。
だから、私は、MLで全員に送るときは、内容によっては
toを自分宛にし、 BCCにMLのアドレスを書くことがあります。
そうすると、返信は私にしか来ない。
Re:事故じゃないよな (スコア:1)
「強制的に」付け加える or 書き換える設定になってるから、
そんなしょーもないことやっても、他では何も意味無いでしょう。
#sf の ML はこれをやってくれないから、
#逆に個人宛に出しただけになってしまう…
Re:事故じゃないよな (スコア:0)
Re:事故じゃないよな (スコア:0)
CC:Carbon Copy
BCC:Black Carbon Copy
仕様だったんです(違
Re:事故じゃないよな (スコア:2, すばらしい洞察)
交通事故は珍しくありませんけど、だからといって交通事故が全部「故意」にされてしまってはたまりません。
Re:事故じゃないよな (スコア:4, おもしろおかしい)
モデレート したいときには 権利なし
かつかれー
Re:事故じゃないよな (スコア:1)
そおいう趣味もあるひとにはあるのでしょうけど。
Re:事故じゃないよな (スコア:0)
Re:事故じゃないよな (スコア:1)
#転校生ってのも加えたほうがいいのかな?
らじゃったのだ
Re:事故じゃないよな (スコア:0)
Re:事故じゃないよな (スコア:2, おもしろおかしい)
主人公「あー!朝のトースト女!」
その子「なによ。そっちがぶつかって来たんでしょ!」
先生「なんだ、おまえらもう知り合いなのか。だったら席はおまえの隣な」
その子「何で私があんたなんかの隣にっ!」
主人公「こっちこそ迷惑だよ!」
まわり「おまえら仲いいなあ」
リアリティとはこういうものです。
Re:事故じゃないよな (スコア:1)
一気にダークな方向へいくかもしれませんね。
らじゃったのだ
Re:事故じゃないよな (スコア:1)
刑法の原則としては過失は罰せずだけど、だからといって人死にがでたのに「わざとじゃないですから」で済まされてしまってはたまりません。
Re:事故じゃないよな (スコア:0)
飲んだら乗るな。
無罪かどうかは知らね。
Re:事故じゃないよな (スコア:0)
Re:事故じゃないよな (スコア:1, 興味深い)
To:やCc:にn個以上の宛先がある場合、送信できないシステムを構築すべきだと思う。
Re:事故じゃないよな (スコア:3, すばらしい洞察)
Re:事故じゃないよな (スコア:1)
メーラーが初期設定では"CC"で送信時に"CCで複数に送信する場合は受信者が他の誰が受信したかわかりますが続行しますか"
的メッセージを表示されるようにするとトラブルは減るんじゃないかな
上級者は設定を変更して消せばいい話だろうし、
ただ上級者でも己の過信によるミスが発生すれば同じですが・・・
Re:事故じゃないよな (スコア:5, すばらしい洞察)
っ みずほ1円株事件
Re:事故じゃないよな (スコア:2, 参考になる)
> その手の警告は慣れてしまうので意味がありません。
っ 赤信号で走った列車 [kyoto-np.co.jp]
どう見ても事故です。
Re:事故じゃないよな (スコア:2, すばらしい洞察)
慣れてしまうぐらい、警告をいっぱい出したと・・・
その方がまずくないか?
Minder
Re:事故じゃないよな (スコア:0)
でも閾値を低くして警告を頻繁に出すようにすると、みんなが慣れてしまって警告の意味が無くなるし、かといって閾値を高くするとホントに間違えたときのダメージが大きくなるし・・・
難しい・・・・・・・
いや、別に今回の件に限った話ではないですけどね。(^^;
Re:事故じゃないよな (スコア:1, 参考になる)
だって、相変わらずいろんなものが垂れ流されているもの。
使い勝手が犠牲になるだけで効果ほとんどなし。
だけど知らない人もいるのでは? (スコア:1, 参考になる)
普通にPC家で使ってる人ならどっちもそんなにお世話になりませんしね。
アルバイトやパートの人では例えPCに詳しい人でもこの違いを知らないんじゃないでしょうか。
PC詳しいと言えども知らない事は調べようと動機が出来ない限り調べませんしね。
Re:だけど知らない人もいるのでは? (スコア:2, 興味深い)
思いますが、今回のケースは(も?)業務の一環で発生したことです。
法的には若干あいまいですが(ガイドライン [meti.go.jp]の13ページを参照)、一般的な
感覚としてメールアドレスは個人情報に該当するものと考えられています。
となれば企業には個人情報保護法に基づく適正な運用が求められ、それに
関する知識は正社員・非正社員の別なく有するべきでしょう。
#あとこれは個人的な感想ですがこういった規模の大きいビジネスで
#Outlook Expressというのもちょっとなー、と。かといって「んじゃ
#どれがいいのよ?」と聞かれると答えに詰まりますが。
Re:だけど知らない人もいるのでは? (スコア:1)
知らないのに使うの? (スコア:0)
To:に複数アドレスを入れて発信してました。
でも、こういうニュースでは、それが原因で相手のアドレスが流出と言うのではなく、
Cc:を使って流出というばかりなのは、かなり不思議です。
少なくともCc:を知っていたと考えるのが普通だとおもいますが。
Re:知らないのに使うの? (スコア:1)
これは業務上過失、または故意かのどちらかでしょう。
つまり担当者がCc:について生半可にしか知らず使った事もなく上司もそれを確認しなかったのか、
あるいは最初からフィッシング狙いで「Cc:によるアドレス流出」という状況を作りたかった人間が内部にいるかのどちらかの可能性があります。いわゆる自作自演ですね。
私は前者の可能性を考えていますが、後者の可能性も否定できませんね。いい目くらましですから。
あとは、少なくともCc:を使う事を提案した者は知っていたはずだし、同じ理由で不特定多数に送るメールシステムは必ず一度は事故がないかダミーのアドレスなりなんなり使ってテストするものです。
これは個人情報うんぬんではなく、「ちゃんと動くかどうか」という基本的問題のために。リストの規模によってはものすごい大量配信になるので、おかしな挙動をすると関係各所にとんでもない迷惑をかけてしまいますので。
こちらは完全に業務上過失でしょうか。
Re:知らないのに使うの? (スコア:1, 興味深い)
偽サイトの画像を良く見ると、「事故の経緯」の部分に 「誤ってTOで配信」って書いてあるよ。
つまり、(これが正しいならば) Cc: ではなく To: で配信したってことだね。
まぁ、いずれにせよ、社員の教育不足であることには違いないが。
ちなみに私は新人研修の時に習って初めて To、Cc、Bcc の違いを知ったけどな。
最近の新人研修の様子を見ていると、携帯電話のメールしか使わない人は、そもそも、Cc の存在すら知らないみたいね。
Re:知らないのに使うの? (スコア:1)
OutlookExpressの場合、デフォルトでBCCが表示されていないからでは?
#同時に送るときは To: じゃなく Cc: や Bcc: を使えと言っていたな…
#なんか違うんだっけか…んーCc: しかないな。どっちも同じようなもんだったよなぁ~ ポチッと
タブレット中毒者。
Re:知らないのに使うの? (スコア:0)
理由もわからず cc 使う理由なんていくらでも考えられますが。
そもそもあなただって、自分の使っているソフトやコマンドについて、
あらゆる動作、あらゆる振る舞いを熟知していますか?そこに誤解はありませんか?
あなたの環境で、あなたの用件に対して、あなたの操作でも
たまたま都合よく動いているだけという可能性はありませんか?
Re:だけど知らない人もいるのでは? (スコア:0)
そーゆーのは詳しいとは言わない。
CcもBccも使わないヒトなら知らなくても差し支えない。
自分以外に関係する事で不用意に「知らないもの」を使わないようにしましょう。
(会社では「知らない事は憶測で動かずにまず聞け」と教わるはずです。)
Re:だけど知らない人もいるのでは? (スコア:1)
まずソース嫁とかいわれ……ないかな。
Re:だけど知らない人もいるのでは? (スコア:1)
まぁ運用規定とか決まってそうな物は「聞け」で問題無いと思います
To, Cc, Bcc の違い (スコア:1)
Cc で送られてきたメール: ついでに送ってきたメールだか らほっといてもダイジョブ。
Bcc で送られてきたメール: ついでに送ってきたメールで、To 宛ての人や、Cc 宛ての人には送ったことはナイショ。
ではないんでしょうか?
Mew ユーザだから、件のような場合は 宛先を匿名にしたメッセージの送信 [mew.org] というやつを使っているんですが、他のmailerにはこんな機能はないんですかねえ。
Re:To, Cc, Bcc の違い (スコア:0)
#下請けAC
#私用でCC使うことなんてないしなぁ