パスワードを忘れた? アカウント作成
11372 story

SMBC「簡単!やさしいセキュリティ教室」 111

ストーリー by yoosee
正しい情報を正しく伝えます 部門より

usbeef曰く、" 高木浩光氏の日記にて、三井住友銀行の 「簡単!やさしいセキュリティ教室」というコンテンツがベタ誉めされている。 金融犯罪に遭遇しないためにということで、ATM、キャッシュカード、フィッシングメール、スパイウェア等を利用した 犯罪とその対策、そしてSMBCでの取り組みを説明するもののようだ。
デザインや内容的にもかなり幅広い層に啓蒙するためのものだが、高木氏も指摘するように そもそも「アドレスバーがない」なんて論外 等と所々にビシッと書かれていて、なかなかいいコンテンツだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 問題4 (スコア:5, 興味深い)

    by makochi13 (25998) on 2005年12月07日 15時34分 (#843974) ホームページ 日記

    ひっかかりそうな問題で憎らしい良問なのではないでしょうか。(というか私は引っかかった...馬鹿。恥ずかしい)

    そういえば、Rubyのまつもとゆきひろ [rubyist.net]さんもフィッシングに遭ってましたね。最近では技術云々より人の心が一番のセキュリティホールなんでしょうね。

    自分への戒めをこめて

  • なかなかいいですね (スコア:5, おもしろおかしい)

    by OKSoft (27172) on 2005年12月07日 15時40分 (#843982) 日記
    けっこう初心者向けと名乗ってるセキュリティ講座は、
    「危ないことが分かったでしょう?じゃぁ弊社のソフト使え!
    が多いのでこれには感心しました。
  • 金融犯罪を防ぐ為に.... (スコア:5, おもしろおかしい)

    by KennedY (23289) on 2005年12月07日 15時57分 (#844002)
    根本的な対策が必要。
    1.キャッシュカード、クレジットカードを作らない。
    2.金融機関に口座を開設しない。
    3.コンピュータ、携帯電話を使わない。
    4.宵越しの金は持たない。
    • Re:金融犯罪を防ぐ為に.... (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2005年12月08日 1時14分 (#844346)
      5. ヤップ島 [visityap.org]に住む。

      巨大な石のお金が今でも通用するところに、莫大な金額の動く金融犯罪は有り得ない。

      ……………物理的に巨大なお金は動くかもしれないけどね。
      親コメント
  • by Anonymous Coward on 2005年12月08日 2時01分 (#844374)
    問題3 [smbc.co.jp]の(1)は、文面に表示してあるURLとリンク先が違う、というものです。HTMLのソースはおそらくこういう風になっていると思います。
    <a href="http://xxx/123.123.123/">https://direct.smbc.co.jp/</a>
    数年前と違って、普通のメーラーはjavascriptがデフォルトでオフになっていますから、ここはこれでいいのです。

    しかし、これがブラウザに表示されたhtmlなら、もう少し注意が必要です。

    昔よくあったのが、直接ステータスバーを詐称するものです。
    <a href="http://xxx/123.123.123/"
       onmouseover="window.status='https://direct.smbc.co.jp'">...</a>
    これは、すぐ見破ることが可能です。

    で、現在よくあるのが、
    <a href="https://direct.smbc.co.jp/"
       onclick="this.href='http://xxx/123.123.123/'">...</a>
    というタイプ。
    リンクをたどろうとした瞬間に、リンク先が(悪意のあるサイトへ)変更されます。

    分けて書く事もできます。
    (Mozilla系の例)
    <script type="text/javascript">
      document.getElementsByTagName("a")[0]
              .addEventListener
                ("click", function (event) {
                            event.target.href = "http://xxx/123.123.123/";
                          });
    </script>
     
    <a href="https://direct.smbc.co.jp/">...</a>


    これをやられると、ブラウザ側では対策が難しいと思います。アンカーは、クリック直前まで、あらゆる意味で健全ですし。もうちょっと巧妙に書けば、ソースを見ても、まず、わからないようにできるでしょう。

    つまり、ブラウザの場合、サイトに悪意があれば、クリックする前にリンク先を知ることは、ほぼ不可能なんです。ツールチップやステータスバーは、全く当てになりません。だって、それらを表示している時点では、まだ健全なんですから。有効な対策はjavascriptをオフにする事ですけど、もちろん、こんなことは万人に薦められません。お手上げです。実際に踏んでみてアドレスバーを確認するしかありません。

    実は、これ、つい最近まで、Googleが無差別にやってました。Googleの検索結果も、リンクをクリックする直前までは、ごく真っ当な、見かけ通りのリンクです。しかし、リンクをクリックした瞬間にGoogleのcgiへリンク先が変更されて、一旦そこを経由した後、改めて本物のサイトへとリダイレクトされるようになっていたのです(注:参照数をカウントするため)。現在は、サインアップした人だけ釣っています。

    ちなみに、Googleの場合は、フィッシングが甘い(褒め言葉)ので、ログインしたあと、検索結果を右クリックしてからポイントすると、真のリンク先(googleのcgiのアドレス)がステータスバーに表示されるようになります(私のFirefoxの場合)。
  • by Anonymous Coward on 2005年12月07日 15時48分 (#843989)
    とりあえず、アドレスバーとステータスバーの問題について、DoCoMoに問い合わせた際の回答を貼っておこう。

    --- 以下引用 ---
    My DoCoMoのアドレスバー及びステータスバーに関する
    ポリシーにつきましては下記のとおりとなります。

    アドレスバーにつきましては、基本的にはすべて表示させる方針で
    作成しておりますが、セキュリティ上、eサイトのページのみ開示しておりません。

    ステータスバーにつきましては、通常遷移のページにはすべて表示させ、
    別ウィンドウのページは、画面サイズをできるだけ大きくするために
    表示しないようにしております。

    また、セキュリティを確保する場合は、ステータスバーやアドレスバーを
    隠すことにより、情報が漏れないようにさせていただいております。
  • その前に (スコア:4, 興味深い)

    by Ikke (7405) on 2005年12月07日 16時06分 (#844010) 日記
    この銀行から送信されるお知らせメールが、すべて「*.mailserver.ne.jp」から届くのを何とかして欲しいと思うのですが。
    • by Sakura Avalon (12557) on 2005年12月07日 17時41分 (#844074)
      メールの偽装(?)といえば、イーバンク銀行 [ebank.co.jp]から届く入出金のお知らせメールはebank.co.jpからになっているのですが、DMその他の通知メールはebankjp.comという「いかにもフィッシング業者が使いそうな」ドメインから送られて来ています。ふだんは見飛ばしていたものの、一度すごく怪しげな直URLに導く宣伝文句があったのでドメインの件も含めて苦情と進言のメールを送りました。指摘に対する単純な返礼メールは来たものの、今に至るも一向に改善はされていません。
      ebankjp.comはWhoIs情報では一応イーバンク銀行が所有している事になっていますが、こんなものこそいくらでも詐称が可能です。それでいてイーバンク銀行の「金融犯罪にご注意ください [ebank.co.jp]」というページでは「当行と類似の名前をかたったメールにご注意ください」と注意書きがあります。いや、あなたのところから来てるメールこそ類似ドメインを騙ってて怪しさ大爆発なんですけど~!
      なお、ebankjp.netドメインはまだ空いている様子ですので、今ならばフィッシング業者は取り放題です(笑)

      #「不審なメール・電話にご注意ください」という見出しが「不信」と間違ってるのにちっとも直す気配が無かったり。イーバンク銀行は前にフィッシング詐欺メール事件が起きているというのに、こんな調子では私自身が「不信」を感じてしまいます。
      親コメント
    • Re:その前に (スコア:2, 興味深い)

      by karia (12363) on 2005年12月07日 17時04分 (#844050) ホームページ
      うちではdn.smbc.co.jpから配信されてますけど?
      直近に来たメールを確認しましたが、*.mailserver.ne.jpというドメインはヘッダ内にすらありませんでした。
      # ちなみに「電子メールお知らせサービス」で来たメール。
      親コメント
    • Re:その前に (スコア:2, 参考になる)

      by kawaz (15398) on 2005年12月07日 17時19分 (#844060) ホームページ
      いつも銀行から来ていると思っていたそれらのメールは既にフィッシングメールだった罠。
      信用させた頃に毒を送り込む為の前準備なのです。

      気づいてよかったねw
      親コメント
    • Re:その前に (スコア:2, 参考になる)

      by docile-jp (16652) on 2005年12月07日 17時20分 (#844061) 日記
      確かにそこ経由で届くメールが三井住友銀行から来ますが、それは新サービスとかカードローンの広告メールですよね。

      重要なものが何か来たことってあったかなぁ??

      --
      それではここでスポンサーからのお知らせ
      親コメント
      • by Ikke (7405) on 2005年12月07日 17時51分 (#844080) 日記
        そうか、「お知らせサービス」なんてのがあったのか・・・。 ちなみに、*.mailserver.ne.jpからくるのは、One's directというインターネットサービスの加入者向けニュースメールです。 しかしながら、中身には 【金融機関等を装う電子メールにご注意ください】 とか、書いているので余計に気になります。
        親コメント
  • by Anonymous Coward on 2005年12月07日 21時15分 (#844191)

    簡単!やさしいセキュリティ教室 [smbc.co.jp]はソースがStrictですね。/p>

    W3Cの文法チェッカーで採点 [w3.org]してみても満点なようです。

    しかし、DOCTYPE宣言があるのに「(no Doctype found)」という警告が出ているのが気になる。。。
    と URIの前に半角スペースが無いのが問題なのか、 W3Cの文法チェッカーの環境変数から古いブラウザだと判断して DTDを故意に外したデータを送っているのかは分かりませんが。

    ソースも綺麗でCSSレイアウト、LINTでも高得点なので参考になるページかも

    ちなみに、このページはStrictだなー、とFirefoxで表示した瞬間に直感的に気が付きました。
    「SMBC三井住友銀行トップ」のSMBCの下にabbr要素の下線が見えたので。

    • しかし、DOCTYPE宣言があるのに「(no Doctype found)」という警告が出ているのが気になる。。。

      想像の通りDOCTYPE宣言のURIの前に半角スペースまたは改行が無いのが原因です。

      <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

      という具合にEN" と "httpの間に半角スペースまたは改行を入れると警告が出ないようになります。

      /* このページの文書型宣言がHTML4.01 Transitionalなのでstrictと言うのちょっと違和感が。*/

      親コメント
  • by 37A (12754) on 2005年12月07日 15時27分 (#843971) ホームページ 日記
    >細かいツッコミどころはいくらかあったが、細かいので割愛。

    と書いてはいるものの、ほぼ手放しで誉めていますね。
    この人の日記で、ここまでプラスに書いているのは…ひょっとして初めて?
    --

    ----------------------------------------
    You can't always get what you want...
    • Re:めずらしい… (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2005年12月07日 18時06分 (#844089)
      あまりに手放しだったので、一瞬いつものように皮肉で
      書いているのかと思ってしまいました…。
      親コメント
  • by Anonymous Coward on 2005年12月07日 17時35分 (#844069)
    よく銀行なんかで「行員が暗証番号を尋ねることはありません」と注意喚起とかされていますよね。
    それに倣って「ユーザのパスワードを尋ねることはありません」と注意喚起してはいるのですが、「長期間使ってなくてアカウントロックされた」ユーザにパスワードを覚えているかどうか聞くと時々、べらべらとパスワードを喋りだす人がいてガックリきます(もちろんそんなことしない人が大多数)。そしてそういう人は銀行でも暗証番号を喋ってしまわないかといらぬ心配をしてしまいます。

    こういう「ノーガード」な人をなんとかできないものか…。もちろんパスワードを覚えているかどうかの確認のしかたが悪いのかもしれないのですが、そうであれば一体どうやったらいいのか…。対面なら試しにその場でログインさせるという手もあるかもしれないですが、内線電話越しとかあったりするので…。

    --
    オフトピなので AC で
    • by Anonymous Coward on 2005年12月07日 18時44分 (#844110)
      高校1年生の期末試験で、学校のパソコンで個々に使用しているパスワードを書かせる問題を出しました。当然のことですが、パスワードを他の人(先生でも)に絶対に教えてはならないと、何度も注意をしています。あと、紙などに記録を残してはいけないともね。

      結果・・・98%の生徒がパスワードを教えてくれました・・・orz
      パスワードを早急に変更するように指導しないといけませんね。
      親コメント
      • 指導要領 (スコア:5, おもしろおかしい)

        by Anonymous Coward on 2005年12月07日 23時10分 (#844268)
        情報漏洩の観点から、テスト用紙に名前を書かないのが正解です。
        美術の時間に描く風景画から住所を特定されないよう注意しなくてはなりません。
        卒業アルバムの写真撮影はもちろん欠席すべきです。
        また、卒業文集も、将来自分が有名人や犯罪者になり一般公開されることを考慮し、迂闊なことを書くことは避けた方がよいでしょう。
        親コメント
      • 実際には使っていないでたらめなパスワードを書いた生徒がいたかも。
        生年月日など推測されやすいパスワードを設定しない、ということを問う問題にも見えますしね。
        --
        I think I can
        親コメント
      • そのパスワードの重要性によると思います。

        授業でちょろっとOfficeとか使うだけでメールの履歴やログインクッキーとかもそのPCでは残るような使い方をしていないような、どうでも良いアカウントのパスワードだったら別に良いよ?って渡すこともありますね。

        まぁ、試験の問題にそんなのがあったら先生の頭を疑いますが…。
        (他の出題方法があると思います)
        親コメント
      • by Anonymous Coward on 2005年12月07日 19時05分 (#844127)
        この場合、パスワードを教える相手が先生ということで、しかも先生には少なくともパスワードを教えたという物的証拠が残るわけで、現実世界ではそのパスワードを自分以外の人間に不正に利用されたとしてもそれによって起こった問題の責任は先生に転嫁可能だと思います。
        そこまで見越して正しいパスワードを書いてくれるような官僚的な生徒とか…いたらやだなぁ(笑
        親コメント
    • >よく銀行なんかで「行員が暗証番号を尋ねることはありません」と注意喚起とかされていますよね。

      それに倣って、銀行員からパスワードを聞かれても答えないようにしているのですが、先日某銀行で定期預金を中途解約したら、「解約のためにキャッシュカードの暗証番号を記入してください」と、ゼロックスでコピーされたアヤシゲな用紙を差し出されたりしてガックリしてしまいます(もちろんみんな知っているメガバンクです)。そういう銀行は、隠しカメラを設置するのにぴったりな箱が、ATMの横にパンフレット入れとして堂々と設置されたままになっていて、半島のスリ団に客が襲われてもいいのかといらぬ心配をしてしまいます。

      こういう「ノーセキュリティ」な銀行をなんとかできないものか…。もちろん営業端末に顧客パスワードを入力させないと中途解約ができないことで、銀行員による預金詐欺を防ぐ天才的な業務フローなのかもしれませんが、銀行員が意図的にパスワードを聞き出して中途解約してしまう事態には無力なのではないかと…。窓口で対面だから安心しろといわれたのですが、過去に書類を紛失してくれた素敵な銀行員だったので…。

      ----
      酔っぱらいなのでACで
      親コメント
    • だからこその生体認証なのかなあという気がします。
      この場合、パスワードを覚えることすら不要にすることも
      できますね。

      うちの職場でも入り口に指紋認証があったりしますが、
      なにせ薬品使って指紋が薄いひとが結構いるので、
      結局誰かのID/PASS番号を使いまわしてテンキーで
      開けちゃったりするんで無意味っつー話も・・

      #暗証番号を忘れて引き出せない口座が3つもあるgesaku
      親コメント
  • タレコミ氏 (スコア:2, 参考になる)

    by Elbereth (17793) on 2005年12月07日 15時48分 (#843990)
    高木氏がスラドで持ってるIDがjbeefなわけで
    それに対抗してusbeefですか。
  • 自分は信用ならない (スコア:2, すばらしい洞察)

    by Milly (29357) on 2005年12月07日 16時34分 (#844036) ホームページ
    注意してても見逃すこともありますし、
    アンチウイルスやスパイウェア除去ソフトにも言及してほしいところです。
  • by Anonymous Coward on 2005年12月07日 20時44分 (#844175)
    http://slashdot.ne.jp/ [slashdot.ne.jp]
  •  犯罪対策ばかりが問題になってますが、初心者がネットバンキングやATM操作ではまり易い罠は、「振り込み金額の桁数間違い」です。
     5万円振り込む予定が50万円になったら大変だ。こういうミスは、銀行は絶対に補償しないでしょう。

     私は自衛策として、普通預金は20万円以下、残りは、全部10万円単位の自動継続定期預金にしてます。
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...