パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる」記事へのコメント

  • by srad.jp (48253) on 2017年12月21日 17時00分 (#3333485)

    ・「送信元のアドレスは画面表示上、担当者のものと同じだった」
    https://www.asahi.com/articles/ASKDN66QBKDNUTIL04Y.html [asahi.com]

    メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける [it.srad.jp]

    今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通

    Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね

    Vendors affected by Mailsploit [google.com] の最新情報でも脆弱性修正がまだのメーラーが多数、Thunderbird は脆弱性を修正しないとする方針を撤回してベータ版では修正が終わったのは良いけど正式版はまだなので、まだ From 詐称による詐欺被害は続くかもしれません。

    FIXED AS OF 11 DEC. 2017 (IN TB 58 BETA 2)

    GOOD NEWS! Mozilla fixed the issue and will be available soon in Thunderbird. https://bugzilla.mozilla.org/show_bug.cgi?id=1423432 [mozilla.org] Original discussion was over email using PGP and resulted in a WON'T FIX. No bugzilla report was made.

    MailsploitでFrom詐称どころかXSS/Code Injection発生のメーラーが多数、いまだに未パッチのメーラーが多い現状を考えると、PGPやS/MIME使うか、お互いGmailでも使ってた方が安全ですね

    • by Anonymous Coward

      >今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通

      そうなっていてほしいけど、残念ながら現実は。

      >Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね

      dmarcが普及してない現実を考えれば、mailsploit なんて手法に頼らず、
      昔ながらの方法でヘッダ詐称したほうが確実だろう。

      • by Anonymous Coward

        > dmarcが普及してない現実

        一般人の使ってるフリーメールは皆対応しているので、そこらへんのJK・JCになりすましメール送って騙すことすらできないんだけど

        Gmail https://support.google.com/a/answer/2466580?hl=ja [google.com]
        Yahoo! Mail https://sendgrid.kke.co.jp/blog/?p=1797 [kke.co.jp]
        Microsoft Outlook https://technet.microsoft.com/ja-jp/library/mt734386(v=exchg.150).aspx [microsoft.com]

        • by Anonymous Coward

          そういうサービスの法人向けなら対応してるだろうけど、
          ふつーにメールサーバ立てて運用する形態だと追加費用出さなきゃ対応してくれんだろうね。

      • by Anonymous Coward

        dmarcが普及してない現実を考えれば、

        中小企業だと自社でシステム構築するのは不可能でGoogle Apps for WorkになってるのでDMARCには対応してる
        大学のac.jpメールも大抵の大学はGoogle Appsだね

        大手だとSIerに作らせた古いシステムを未だに使ってるからDMARC対応は次のシステム更新までないんじゃないかな

        • by Anonymous Coward

          >Google Apps for WorkになってるのでDMARCには対応してる

          サービスが対応しているということと、サービスを利用するユーザがそれを実際に使うということは話が別。

          たとえば今回のjal.co.jpのMXを見るとmessagelabsのサービスを使っているようで、
          これはdkim署名対応済みのサービスだけど、jal.co.jpはdkim公開鍵を登録していないので
          実際には署名していないとわかる。
          また、このサービスはspf/dkim/dmarcの検証にも対応してるけど、
          送る側がspf/dkim宣言していなければ検証しようがない。

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...