アカウント名:
パスワード:
ゆうちょ銀行のお知らせ [japanpost.jp]では
ゆうちょダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりませんので、このような画面が表示されても、合言葉・インターネット用暗証番号の入力は絶対に行わないでください。
と書いてある。三井住友銀行のお知らせ [smbc.co.jp]でも
SMBCダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりません。このような画面が表示されても、暗証番号などお客さまの情報の入力は絶対に行わないでください。
とある。だけど、ポップアップ画面であることって何か重要なんだろうか。本来ないはずのポップアップ画面を出すことができるということは、たぶんウェブページのフォームの送信先を書き換える等、ポップアップ画面を使わない手法で情報を入力させることも簡単にできる状態にあるように思うんだけど。そうだとしたら、単に今出回っているマルウェアがポップアップ画面を使っているだけで、「ポップアップ画面が出たら気を付けろ」なんて言っていたらすぐにポップアップ画面を使わないバージョンが出回るだけだろう。「今出回っているマルウェアはこうだけど、変種が出てくる可能性もあるから情報収集に努めてほしい」とか何とか書くべきなのではなかろか。
「おれおれ詐欺」という言葉がはやった後、「おれおれ」と言わない振り込め詐欺が出てきて、「おれおれ」という言葉にだけ注意していた人たちがまんまと騙された。「ポップアップ画面に注意」というのも似たような話にならないかと心配。
ポップアップでなければ(=ブラウザ上での画面遷移であれば)アドレスが表示されてるので、それを見てある程度防衛できるのではないかと推測。
# 昔はアドレス領域無しの新規ウインドウとか作れたけど、色々問題になった結果、# どのブラウザでも、アドレス領域は必ず表示するようになったということがあった。
いや、そのりくつはおかしい。 (AA略)
今回の仕組みで偽画面が表示されるのは、既にパソコンが乗っ取られた後だと考えられるので、表示されているアドレスとページ内容が一致する保証はない。そもそも、その保証があるなら、攻撃者は今回のポップアップ画面を表示することもできないわけで。攻撃者がミスをしない限り、アドレスバーを確認しても偽画面かどうかはわからない。
攻撃者がミスをして、偽画面である証拠をアドレスバーなり他の部分なりに残してくれる可能性はあるけれど、それはポップアップ画面であるかどうかとは無関係だと思う。
アドレスバーに表示するURLって簡単に偽装できるの?ブラウザ風のなにかを表示するってこと?
パソコンが乗っ取られている後なので、攻撃者がどのような表示の偽装だってできる可能性があると考えるべきでしょう。「パソコンが乗っ取られた」という時点でもう「アドレスを見て通信先が正しい相手かどうか判断する」なんてレイヤの話で攻撃を防ぐことはできない。
どんなときでも、世の中には一定数の馬鹿がいる。その馬鹿を食い物にしようとするやつがまた一定数いて日々新しい方法を考えている。
どんな啓蒙をしようとしたって無駄だよ。
何言っても聞かない人も一部にはいるだろうけど、大半の人はニュース等で「こういうことに気を付けましょう」と言っていたらしばらくは注意を向けるものだと思う。無駄ってことはないんじゃないかな。
まず、従来から多数の攻撃手法があり、それはポップアップ画面を使わない方法がほとんどすべてです。今回の場合、たまたまユーザーにとってわかりやすい特徴があるから、対策方法にそれを織り込んだだけでしょう。セキュリティというのはいたちごっこで完璧な対処というのはないのですから、別バージョンは別バージョンでモグラたたきしていくしかない、というのが常識かと思いますけれど。#私はポップアップに気付けたとしてもフォームの送信先を書き換えられたことに気付ける自信はありません
別バージョンは別バージョンでモグラたたきしていくしかない、というのが常識かと思いますけれど。
常識って、誰にとって? 「別バージョンが出てくる可能性にも注意」と書くのがわかりきっていて無駄だとは、僕にはとても思えない。
端的に言えば、わかっている人には無駄、わかってない人には意味をなさない。
「別バージョン」って、具体的にどんなもので、どうやって見分け、どう防ぐの?ウィルス、フィッシング、マルウェアなどは亜種や別版、別物が日々出てきている。そんななかで別バージョンとやらを区別する必要あるの?最新のセキュリティ事情でも知ってなければ、いや知っていても、従来の手法を想定して従来通りの対策を行う以上に何かある?
あるとしたら「ポップアップに注意する」以外にはないんじゃないの?従来の対策対処に、今回の新しい対策対処が加わる以上に何か対策ある?
まあ、わかってる人向けに、再点検呼びかけるのはあっても良いかもしれないけれど、なくても別にいいでしょう。わかってない人は、「注意してください」って言われても「なんに?」で終わるでしょう。具体的なことを書かなければ。で、ログイン画面にはフィッシングとかいろいろ書いてある。#ウイルスについてはなさそうだけど。新聞記事は「気を付けましょう」と言っている。それで良くないの?
あるとしたら「ポップアップに注意する」以外にはないんじゃないの? 従来の対策対処に、今回の新しい対策対処が加わる以上に何か対策ある?
ある。 #2260991 [srad.jp] で
「今出回っているマルウェアはこうだけど、変種が出てくる可能性もあるから情報収集に努めてほしい」とか何とか書くべきなのではなかろか。
と書いた通り。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
ポップアップ画面であることが重要なの? (スコア:5, 興味深い)
ゆうちょ銀行のお知らせ [japanpost.jp]では
と書いてある。三井住友銀行のお知らせ [smbc.co.jp]でも
とある。だけど、ポップアップ画面であることって何か重要なんだろうか。本来ないはずのポップアップ画面を出すことができるということは、たぶんウェブページのフォームの送信先を書き換える等、ポップアップ画面を使わない手法で情報を入力させることも簡単にできる状態にあるように思うんだけど。そうだとしたら、単に今出回っているマルウェアがポップアップ画面を使っているだけで、「ポップアップ画面が出たら気を付けろ」なんて言っていたらすぐにポップアップ画面を使わないバージョンが出回るだけだろう。「今出回っているマルウェアはこうだけど、変種が出てくる可能性もあるから情報収集に努めてほしい」とか何とか書くべきなのではなかろか。
「おれおれ詐欺」という言葉がはやった後、「おれおれ」と言わない振り込め詐欺が出てきて、「おれおれ」という言葉にだけ注意していた人たちがまんまと騙された。「ポップアップ画面に注意」というのも似たような話にならないかと心配。
Re: (スコア:0)
ポップアップでなければ(=ブラウザ上での画面遷移であれば)アドレスが表示されてるので、
それを見てある程度防衛できるのではないかと推測。
# 昔はアドレス領域無しの新規ウインドウとか作れたけど、色々問題になった結果、
# どのブラウザでも、アドレス領域は必ず表示するようになったということがあった。
Re:ポップアップ画面であることが重要なの? (スコア:2)
いや、そのりくつはおかしい。 (AA略)
今回の仕組みで偽画面が表示されるのは、既にパソコンが乗っ取られた後だと考えられるので、表示されているアドレスとページ内容が一致する保証はない。そもそも、その保証があるなら、攻撃者は今回のポップアップ画面を表示することもできないわけで。攻撃者がミスをしない限り、アドレスバーを確認しても偽画面かどうかはわからない。
攻撃者がミスをして、偽画面である証拠をアドレスバーなり他の部分なりに残してくれる可能性はあるけれど、それはポップアップ画面であるかどうかとは無関係だと思う。
Re: (スコア:0)
アドレスバーに表示するURLって簡単に偽装できるの?
ブラウザ風のなにかを表示するってこと?
Re: (スコア:0)
パソコンが乗っ取られている後なので、攻撃者がどのような表示の偽装だってできる可能性があると考えるべきでしょう。
「パソコンが乗っ取られた」という時点でもう「アドレスを見て通信先が正しい相手かどうか判断する」なんてレイヤの話で攻撃を防ぐことはできない。
Re: (スコア:0)
どんなときでも、世の中には一定数の馬鹿がいる。
その馬鹿を食い物にしようとするやつがまた一定数いて
日々新しい方法を考えている。
どんな啓蒙をしようとしたって無駄だよ。
Re:ポップアップ画面であることが重要なの? (スコア:2)
何言っても聞かない人も一部にはいるだろうけど、大半の人はニュース等で「こういうことに気を付けましょう」と言っていたらしばらくは注意を向けるものだと思う。無駄ってことはないんじゃないかな。
Re: (スコア:0)
まず、従来から多数の攻撃手法があり、それはポップアップ画面を使わない方法がほとんどすべてです。
今回の場合、たまたまユーザーにとってわかりやすい特徴があるから、対策方法にそれを織り込んだだけでしょう。
セキュリティというのはいたちごっこで完璧な対処というのはないのですから、別バージョンは別バージョンでモグラたたきしていくしかない、というのが常識かと思いますけれど。
#私はポップアップに気付けたとしてもフォームの送信先を書き換えられたことに気付ける自信はありません
Re:ポップアップ画面であることが重要なの? (スコア:2)
常識って、誰にとって? 「別バージョンが出てくる可能性にも注意」と書くのがわかりきっていて無駄だとは、僕にはとても思えない。
Re: (スコア:0)
端的に言えば、わかっている人には無駄、わかってない人には意味をなさない。
「別バージョン」って、具体的にどんなもので、どうやって見分け、どう防ぐの?
ウィルス、フィッシング、マルウェアなどは亜種や別版、別物が日々出てきている。
そんななかで別バージョンとやらを区別する必要あるの?
最新のセキュリティ事情でも知ってなければ、いや知っていても、従来の手法を想定して従来通りの対策を行う以上に何かある?
あるとしたら「ポップアップに注意する」以外にはないんじゃないの?
従来の対策対処に、今回の新しい対策対処が加わる以上に何か対策ある?
まあ、わかってる人向けに、再点検呼びかけるのはあっても良いかもしれないけれど、なくても別にいいでしょう。
わかってない人は、「注意してください」って言われても「なんに?」で終わるでしょう。具体的なことを書かなければ。
で、ログイン画面にはフィッシングとかいろいろ書いてある。
#ウイルスについてはなさそうだけど。
新聞記事は「気を付けましょう」と言っている。
それで良くないの?
Re:ポップアップ画面であることが重要なの? (スコア:2)
ある。 #2260991 [srad.jp] で
と書いた通り。