パスワードを忘れた? アカウント作成
21972 story
セキュリティ

「ブログの引っ越し」を謳ったフィッシングサイトが登場? 26

ストーリー by mhatta
確かにこれはどうなんだ 部門より

Anonymous Coward曰く、

INTERNET Watchの記事によると、「livedoor Blog」の「引っ越し」を騙るフィッシングサイトが現れたそうだ。これは、「livedoor Blog開発日誌」で明らかにされたもので、「ブログの引っ越しのため、などの理由でlivedoor ID/パスワードを入力させる悪質なフィッシングサイトが確認されております」と書かれている。ライブドアは、livedoor IDとそのパスワードを他人に提供すると、登録されている個人情報やクレジットカード番号などが盗用される恐れがあるとして、「大変危険です」としている。たしかに、mixiのパスワードくらいだったら大して危険じゃないかもしれないが、livedoor IDはいろいろなサービスに使われているので危険度は高いように思える。
問題のフィッシングサイトがどこかは明らかにされていないが、コメント欄はてなブックマークからの情報によると、このサイト(http://blog.fc2.com/import/regist.php)のことではないかと囁かれている。見たところ、これはFC2,inc.の公式なサービスのように見えるが、はたしてこういうやり方はどうなのだろうか。日本の何かの法令に違反しているような気もしなくもないが、スラド法曹班の見解は如何に?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by petit.torrija (31677) on 2008年03月27日 10時21分 (#1320166)

    これはFC2,inc.の公式なサービスのように見えるが

    見えるもなにも、FC2ブログのトップページ [fc2.com]にバナー置いてあります。
    これがクラックされてトップページにバナー置かれ、blog.fc2.com のドメインに import というフォルダ置かれて云々、という可能性もゼロではないですが、「FC2の公式サービス」と言い切って良いでしょ。

    で、Livedoorが言う「悪質なフィッシングサイト」が http://blog.fc2.com/import/regist.php [fc2.com] の
    事を言っているのであれば、このFC2ブログへの引越しサービスが正常に機能している場合は

    「引っ越し」を騙る

    も騙って「は」ないですね。

    倫理的、または法的になんかイロイロ問題ありそうじゃね?コレっていうのには同意しますが。

    • Re:「見えるが」も何も (スコア:2, すばらしい洞察)

      by kaguyaboshi (31023) on 2008年03月27日 10時37分 (#1320179) 日記
      Livedoor側の書いていることは至極正論ですし、実際、同様の「本物の」フィッシングサイトが出現したら、ということを考えると予め啓蒙しておくことは悪くはなさそうですが、もし本当にFC2の当該サイトを指しているのだとしたら意地が悪いと言うか、大人げない反応のような気がします。
      対して、FC2の方はIDとパスワードを入力させることについて「本人確認(ログインするのかな?)の為だけに使用し、データの保持は一切行いません」と記載するくらい脇を固めておくべきだったように思います。
      個人的結論:どっちもどっち。
      親コメント
      • by Anonymous Coward

        意地が悪いと言うか、大人げない反応のような気がします。

        とても気を使った、大人の対応ですね。名指しでやる方がいろいろ問題が起こりうるのでは。

        • んー、そうかなあ。
          サイトの身元ははっきりしてるわけだし、問題だと感じるのであれば社として正式に抗議するのが筋だと思います。
          「そういったIDとパスワードを安易に入力させるような仕組みはいかがなものか」と。
          今の状態では(何度も言うようですが本当に注意喚起の対象がFC2のサイトなのだとしたら)あてこすりにしかなっておらず、
          ・こういったIDとパスワードを安易に他人に預ける行為をどうにかしたいLivedoorの中の人
          ・フィッシングサイトという悪名を背負ったFC2(まあ今のままではそれもやむなしな感じですが)
          ・はっきりしない表現にとまどうユーザ
          のいずれも幸せになれない、という展開になりかねないと思いますが……。
          #まあ正式抗議ともなると大事になりますし、「大人の対応」とやらでなあなあに済ませるのもありという気もしないでもないですけど。
          親コメント
    • 私も見ましたがおそらく公式ですね。
      ユーザID、パスワードを求めるのはBlog管理画面か何かからデータ引っ張ってくるってことなのかな・・・

      ・ Amebaブログ、livedoorブログは、デザインをできるだけ初期状態に戻してインポート登録を行ってください。

      この文章で登録情報でばれちゃまずいのは消してね?って言いたいんだと思いますが・・・

      Mixiについては特に記載なし・・・

      使用したユーザID、パスワードはブログの引越しのみに使用し、処理が終わり次第情報は削除します。
      位の事書いてないと怖いものは有りますね。
      親コメント
    • by Anonymous Coward
      Livedoor側としては、移行させないようにするために使った建前なんでしょうね。
      個人的には個人情報を流出させるサイトが多いので、どのサイトも信用できないんですけどね…
    • >「引っ越し」を騙る 元の記事 http://blog.livedoor.jp/staff/archives/50925641.html [livedoor.jp] には「謳った」と書いてありますから、引っ越し自体が嘘という書き方ではありません。
  • by kanie (911) on 2008年03月27日 10時27分 (#1320170)

    そもそもFC2のphishing [fc2.com](?)ペイジを見ると、libdoorブログからの引っ越しの必要条件には以下のように書いてあります。

    • デフォルト2008(スカイ,2カラム/3カラム)、デフォルト2008(アクア,2カラム/3カラム)
    • 記事の投稿日付フォーマット XXXX-XX-XX XX:XX:XXの形を推奨。取得できない場合は当日日付が入ります
    • タイトルが取得できなかった場合,タイトルには”タイトルなし”と表示されます

    ここから推測できるのは、この引っ越しツールはblogをスクレイピング(WebペイジのHTMLファイルをgetして、がんばってparseして必要なデータを取り出す)しているようです。

    それなら、サービスのIDとパスワードの入力は必要ないのでは?

    たぶん、引っ越し元のblogが引っ越す人のものだということを確認するためなんでしょう。確認なしだと、簡単スプログ(spam blog)作成ツールになるのは目に見えているので。しかし、そうだとしても危なすぎます。フィッシングサイト扱いはしょうがないな、という感じ。

  • by elderwand (34630) on 2008年03月27日 12時16分 (#1320254) 日記
    Livedoor は利用してないので、あれ?と思ったのは、ID/Password が洩れると利用しているクレジットカードの番号までばれてしまうのかということ。

    たいがいのサービスでは、クレジットカード番号はログインユーザであっても下4桁だけ表示とかになってると思うのだが。

    Livedoor 利用者のコメント求む。
    • by Anonymous Coward
      パスワードがひとつ悪意ある人の手に渡ってしまえば、同じパスワードを使っていたサービスや、「秘密の質問と答え」などから芋づる式に相当の情報が漏れてしまいますね。
      例えば livedoor のメールアカウントを別のサービスの「パスワードリマインダ」の受け取り先にしていたら ? などと考えだすと...
    • by Anonymous Coward
      利用者じゃないですけど。
      livedoorウォレット [livedoor.com]というサービスがあって、これを使うとクレジットカード番号を入力しなくても買い物とかが出来てしまうっぽいですよ。
      ※ livedoorID/パスワードだけで利用できるかどうかは不明。

      まあ、これだけでは『クレジットカード番号の盗用』が可能かどうかはわかりませんが。
      • ウォレットのサイトを読んでみると、
        ・登録したカードを使って有償コンテンツ等の買い物をしたり、登録情報を確認・変更する時はLivedoor IDとは別のウォレット認証キーが必要
        ・認証キーがわからなくなったら登録メールアドレス宛に再発行が出来る
        ということで、件のFC2のサイトに入力した情報とLivedoorで登録したメールアドレスやパスワードが一致していればわりと好き放題出来そうです。
        各サイトでそれぞれパスワードを変えておけばまあなんとかなりそうではありますが……それってけっこう面倒だよね。
        親コメント
  • ID/パスワード入力させてるのに、入力ページも送信先もhttpですね。
  • by Anonymous Coward on 2008年03月27日 10時11分 (#1320158)

    このサイト(http://blog.fc2.com/import/regist.php)のことではないか
    「登録」と言えば済むところを「レジスト」「レジスト」言うもんだから、こんな中途半端な間違いをするヤツが出てくるんだよ。登録はregister [goo.ne.jp]、resist [goo.ne.jp]は抵抗。
  • by Anonymous Coward on 2008年03月27日 10時17分 (#1320162)
    フィッシングサイトというのは、ID/PASSを発行したサイト(Paypal, livedoor Blog..)に偽装して、ユーザに公式サイトと思わせ、ID/PASSといった情報を入力させるサイトのことを言うと定義すると、FC2 はフィッシングサイトではないですね。

    しいて言うなら、ユーザはFC2が裏側でどのような処理をするかを知らされてないのが一番の問題で、
    正式にはユーザに対して ID/PASSを委託する契約をクリックさせないと問題なのかもしれません。

    root のパスワードを預けて、外部の業者に サーバの管理をしてもらうような感じです。
    • by Anonymous Coward
      そんな厳密な定義じゃなくてもいいんじゃね?
      フィシングじゃなくてフィッシング [srad.jp]なんだから。
    • by Anonymous Coward
      論破乙。 フィッシングサイトがなんだか理解できていない負け犬ライブドアがfc2にユーザーとられたくないばっかりに必死ぶっこいたというのが真相。
  • by Anonymous Coward on 2008年03月27日 10時18分 (#1320164)
    FC2は他人のPWを平文で保持していると思うわけですが、IDとかPWは個人情報ではないんですよね。
    他のレコードにどのようなデータが入っているか、は、非常に興味が湧くわけですが。

    しかし、IDの第三者利用、複数名の使いまわしについては、元のサイトの規約で引っかからないのかな。

    # オフトピックになりますが、OpenIDはその辺りが整備(共有)されてるんでしょうかね...。
  • by Anonymous Coward on 2008年03月27日 10時44分 (#1320186)
    高木氏のブログ(url失念)に、ヌイッターというtwitterのユーザ名とパスワードを入力させてイタズラをするコンテンツの問題点を言及した記事があったが、業者でさえもこの(ヌイッターを提供した)人と同じ程度のレベルでしかない、という事だと思う。

    そういう仕事をしているので、あちらこちらでプログラムなどの質問に答えているが、
    「仕事で・・・」と質問している人の意識の低さとスキルの低さに驚かされる事がなんと多い事か。
    • by Anonymous Coward
      これですね。

      「nwitter」の違法性について考えてみる
      http://takagi-hiromitsu.jp/diary/20080217.html#p01 [takagi-hiromitsu.jp]
      • by Anonymous Coward
        あぁ。これです。ありがとうございます。
        (一応検索したはずだったのですが、みつからなくて(汗))
        というか、しばらく前に話題になっていたTaggedの話から始まってるんですね。
        高木氏のブログを読みなおしてみると1件2件程度ではなさそうなので、これから中継型phishingサイトが流行っていきそうな感じがします。
        (個人的に、#1320448氏の言う「マッシュアップ(笑)」がツボにはまった。)
  • by Anonymous Coward on 2008年03月27日 15時46分 (#1320448)
    これが今をときめくマッシュアップ(笑)ってやつですか。
    こういうの、流行ってるんですか?
  • by Anonymous Coward on 2008年03月28日 15時46分 (#1321051)
    必死ww livedoorはfc2登場後、fc2にブログ登録者no1の座を奪われた。 fc2め!まだ俺らのユーザーを奪うのかあああ!!! ということだろうww おまけ↓ 「チベット騒乱」 ブログを無断検閲、エントリー内容を勝手に変更(驚) ライブドアか?中国当局か? 東京脱力新聞 東京脱力新聞2.0ジャーナリスト上杉隆のブログ2008年03月22日 http://www.uesugitakashi.com/archives/51351358.html [uesugitakashi.com]
typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...