「ブログの引っ越し」を謳ったフィッシングサイトが登場? 26
ストーリー by mhatta
確かにこれはどうなんだ 部門より
確かにこれはどうなんだ 部門より
Anonymous Coward曰く、
INTERNET Watchの記事によると、「livedoor Blog」の「引っ越し」を騙るフィッシングサイトが現れたそうだ。これは、「livedoor Blog開発日誌」で明らかにされたもので、「ブログの引っ越しのため、などの理由でlivedoor ID/パスワードを入力させる悪質なフィッシングサイトが確認されております」と書かれている。ライブドアは、livedoor IDとそのパスワードを他人に提供すると、登録されている個人情報やクレジットカード番号などが盗用される恐れがあるとして、「大変危険です」としている。たしかに、mixiのパスワードくらいだったら大して危険じゃないかもしれないが、livedoor IDはいろいろなサービスに使われているので危険度は高いように思える。
問題のフィッシングサイトがどこかは明らかにされていないが、コメント欄やはてなブックマークからの情報によると、このサイト(http://blog.fc2.com/import/regist.php)のことではないかと囁かれている。見たところ、これはFC2,inc.の公式なサービスのように見えるが、はたしてこういうやり方はどうなのだろうか。日本の何かの法令に違反しているような気もしなくもないが、スラド法曹班の見解は如何に?
「見えるが」も何も (スコア:3, 参考になる)
見えるもなにも、FC2ブログのトップページ [fc2.com]にバナー置いてあります。
これがクラックされてトップページにバナー置かれ、blog.fc2.com のドメインに import というフォルダ置かれて云々、という可能性もゼロではないですが、「FC2の公式サービス」と言い切って良いでしょ。
で、Livedoorが言う「悪質なフィッシングサイト」が http://blog.fc2.com/import/regist.php [fc2.com] の
事を言っているのであれば、このFC2ブログへの引越しサービスが正常に機能している場合は
も騙って「は」ないですね。
倫理的、または法的になんかイロイロ問題ありそうじゃね?コレっていうのには同意しますが。
Re:「見えるが」も何も (スコア:2, すばらしい洞察)
対して、FC2の方はIDとパスワードを入力させることについて「本人確認(ログインするのかな?)の為だけに使用し、データの保持は一切行いません」と記載するくらい脇を固めておくべきだったように思います。
個人的結論:どっちもどっち。
Re: (スコア:0)
とても気を使った、大人の対応ですね。名指しでやる方がいろいろ問題が起こりうるのでは。
Re:「見えるが」も何も (スコア:1)
サイトの身元ははっきりしてるわけだし、問題だと感じるのであれば社として正式に抗議するのが筋だと思います。
「そういったIDとパスワードを安易に入力させるような仕組みはいかがなものか」と。
今の状態では(何度も言うようですが本当に注意喚起の対象がFC2のサイトなのだとしたら)あてこすりにしかなっておらず、
・こういったIDとパスワードを安易に他人に預ける行為をどうにかしたいLivedoorの中の人
・フィッシングサイトという悪名を背負ったFC2(まあ今のままではそれもやむなしな感じですが)
・はっきりしない表現にとまどうユーザ
のいずれも幸せになれない、という展開になりかねないと思いますが……。
#まあ正式抗議ともなると大事になりますし、「大人の対応」とやらでなあなあに済ませるのもありという気もしないでもないですけど。
Re:「見えるが」も何も (スコア:1)
ユーザID、パスワードを求めるのはBlog管理画面か何かからデータ引っ張ってくるってことなのかな・・・
・ Amebaブログ、livedoorブログは、デザインをできるだけ初期状態に戻してインポート登録を行ってください。
この文章で登録情報でばれちゃまずいのは消してね?って言いたいんだと思いますが・・・
Mixiについては特に記載なし・・・
使用したユーザID、パスワードはブログの引越しのみに使用し、処理が終わり次第情報は削除します。
位の事書いてないと怖いものは有りますね。
Re: (スコア:0)
個人的には個人情報を流出させるサイトが多いので、どのサイトも信用できないんですけどね…
「かたる」ではなく「うたう」ですね (スコア:0)
ID, passwordを入力させる意味 (スコア:2, すばらしい洞察)
そもそもFC2のphishing [fc2.com](?)ペイジを見ると、libdoorブログからの引っ越しの必要条件には以下のように書いてあります。
ここから推測できるのは、この引っ越しツールはblogをスクレイピング(WebペイジのHTMLファイルをgetして、がんばってparseして必要なデータを取り出す)しているようです。
それなら、サービスのIDとパスワードの入力は必要ないのでは?
たぶん、引っ越し元のblogが引っ越す人のものだということを確認するためなんでしょう。確認なしだと、簡単スプログ(spam blog)作成ツールになるのは目に見えているので。しかし、そうだとしても危なすぎます。フィッシングサイト扱いはしょうがないな、という感じ。
Re:ID, passwordを入力させる意味 (スコア:1)
その他は謎ですね。
クレジットカード番号 (スコア:2, 興味深い)
たいがいのサービスでは、クレジットカード番号はログインユーザであっても下4桁だけ表示とかになってると思うのだが。
Livedoor 利用者のコメント求む。
Re: (スコア:0)
例えば livedoor のメールアカウントを別のサービスの「パスワードリマインダ」の受け取り先にしていたら ? などと考えだすと...
Re:クレジットカード番号 (スコア:1, 参考になる)
Re:クレジットカード番号 (スコア:1)
誰が何の参考にしたんだ。怖いからやめてくれよ。
Re: (スコア:0)
livedoorウォレット [livedoor.com]というサービスがあって、これを使うとクレジットカード番号を入力しなくても買い物とかが出来てしまうっぽいですよ。
※ livedoorID/パスワードだけで利用できるかどうかは不明。
まあ、これだけでは『クレジットカード番号の盗用』が可能かどうかはわかりませんが。
Re:クレジットカード番号 (スコア:1)
・登録したカードを使って有償コンテンツ等の買い物をしたり、登録情報を確認・変更する時はLivedoor IDとは別のウォレット認証キーが必要
・認証キーがわからなくなったら登録メールアドレス宛に再発行が出来る
ということで、件のFC2のサイトに入力した情報とLivedoorで登録したメールアドレスやパスワードが一致していればわりと好き放題出来そうです。
各サイトでそれぞれパスワードを変えておけばまあなんとかなりそうではありますが……それってけっこう面倒だよね。
思い切り平文で送信してるし (スコア:1)
和製英語 (スコア:0)
フィッシングサイトの定義 (スコア:0)
しいて言うなら、ユーザはFC2が裏側でどのような処理をするかを知らされてないのが一番の問題で、
正式にはユーザに対して ID/PASSを委託する契約をクリックさせないと問題なのかもしれません。
root のパスワードを預けて、外部の業者に サーバの管理をしてもらうような感じです。
Re: (スコア:0)
フィシングじゃなくてフィッシング [srad.jp]なんだから。
Re: (スコア:0)
普通に考えて (スコア:0)
他のレコードにどのようなデータが入っているか、は、非常に興味が湧くわけですが。
しかし、IDの第三者利用、複数名の使いまわしについては、元のサイトの規約で引っかからないのかな。
# オフトピックになりますが、OpenIDはその辺りが整備(共有)されてるんでしょうかね...。
ヌイッターレベル (スコア:0)
そういう仕事をしているので、あちらこちらでプログラムなどの質問に答えているが、
「仕事で・・・」と質問している人の意識の低さとスキルの低さに驚かされる事がなんと多い事か。
Re: (スコア:0)
「nwitter」の違法性について考えてみる
http://takagi-hiromitsu.jp/diary/20080217.html#p01 [takagi-hiromitsu.jp]
Re: (スコア:0)
(一応検索したはずだったのですが、みつからなくて(汗))
というか、しばらく前に話題になっていたTaggedの話から始まってるんですね。
高木氏のブログを読みなおしてみると1件2件程度ではなさそうなので、これから中継型phishingサイトが流行っていきそうな感じがします。
(個人的に、#1320448氏の言う「マッシュアップ(笑)」がツボにはまった。)
マッシュアップ(笑) (スコア:0)
こういうの、流行ってるんですか?
必死ww (スコア:0)