アカウント名:
パスワード:
電話や郵送といった、サイバーでない、従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな。
常時盗聴でもしてなけりゃ、パスワード再発行依頼の「電話」なんて知り得ないし、以前から郵便局に勤めてるか、でなきゃターゲットの自宅を知ってて郵便受けを見張ってるとかでなきゃ、いくら平文で郵送されたって覗き見ることなんかできないだろうに。
逆に言えば、電話も郵便も掌握されてパスワード抜かれるほどにピンポイントで狙われてたら、どんな対策してたって破られると思うし。
日本では郵送が最強ってサイバーセキュリティに詳しい人ほど知らないんだな。電話やメールで脅迫して逮捕された例に比べて、郵送で逮捕された例はとても少ない。電話やメールを特定人物にしつこく送るとストーカー規制法違反になるが、郵送ならセーフ。違法なデータや物をやりとりしても、電話やメールは盗聴される可能性があっても、郵便物には警察でさえ手出しできません。
これ日本じゃなくてイギリスの事件ですよ。郵便は国によっては信頼性が著しく低いケースがあります。(イギリスがどうかは知りませんが。)
「英国でも信頼できるよ!」なら意味のある情報だけど、「もとは英国の制度だよ!」は信頼性にはなんも寄与してないよ…制度そのものが持つ信頼性と運用含んだ信頼性はまた別でしょ。ATMをどんなにしっかり作っても後ろから暗証番号打つとこ見えてたらアウト、みたいなもんだ。
捕まるのはおまえみたいなド素人で、サイバーセキュリティに詳しい犯罪者は捕まってないの。インターネットのほうが厄介なのは、詳しい人ならわかってると思うよw
あと、ヤバイお薬を郵便で送って捕まったニュースよく見るけど、手出しできないってどういうこと?電話やネットだって郵便と同程度には警察は手出しできないのだが。
郵便に関わる犯罪は検挙が難しいんですね。それが安全とどう関係あるのかわかりませんけれども。
そういう問題じゃない。電話か郵送どっちがセキュアかなんてのは、この問題の根本には一切関係ない。
平文で元のパスワードを送ってくる=”担当者は顧客が自分で設定したパスワードを見放題”
ってとこが問題なの。それこそ本人の使いまわしの是非は置いといて、悪意を持てばメルアドとそのパスワードで他のサイトのそのユーザーのアカウントを乗っ取れるのだから。
さらに言えば「パスワードリセットを依頼したのに元のパスワードを送ってきた」という客の依頼と違うことをしている時点で顧客対応がダメ。
一般論として。
目的は、パスワードを忘れてしまったアカウントを再び利用できるようにすること。パスワードのリセットは、きっとそうなるんだろうと先回りして考えたこの人の推測でしかない。
ちなみに顧客対応は、顧客が言ったことをそのとおりに実行するのではなく、顧客が目的を果たすことをサポートすること。
なら依頼を受けたときにそのことを伝えればいい。その理屈では実際に行うことの説明を顧客にせずにいきなり元のパスワードを送ったことを正当化できない。
ストーリーを読み直せ!顧客対応についてしゃべるのはその後で。まあ、もうしゃべらなくていいけど。
アカウントの乗っ取りは違法だからセキュアだろ
ただの窓口担当者とは違うけど、コンピューターの管理者に見られる問題はハッシュ化してても同じだよ。サーバー側でハッシュ化してるんだから、ハッシュ化前のデータはいくらでも捕捉できる。どんなにきちんと管理してあっても、システムの管理者は、顧客のメールアドレスと(自分のシステムにおける)パスワードを原理的には手に入れられる。だから使いまわしがだめなわけ。システム管理者なんていっても、全知全能の聖人ではなくただのおっさんだからね。
まぁ、正直、「お前のパスワード知ったところで、何の役に立つんだよ」とは思うわ
なりすましてパスワード再発行依頼の電話をする→郵送されてくるのを待つ→ポストへ投函されたタイミングで手紙を抜く→パスワードを取得する→パスワードの変更はないので被害者は盗まれたことに気が付かない
攻撃対象が固定ならこれほど簡単に攻撃できることもないな。
郵便には書留系の郵送法もあるのだが。
パスワードの郵便、銀行からちょくちょく来るが、書留だったことなんてないぞ。
もうちょっと覚えやすいパスワードにした方がよいのでは
ガチ勢によるクレカを抜きとる手口。https://www.nikkei.com/article/DGXMZO46807920R00C19A7CC1000/ [nikkei.com]
ピッキングはオレも得意w会社の引き出しとかクリップ2個でサクッと開けちゃうよ。
ダイアル錠もこんなものhttps://twitter.com/ogitech0527/status/1160147913042886656 [twitter.com]
>従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな
それはない。ソーシャルエンジニアリングなんて基礎の基礎。
ピンポイントに狙う前提ならね。大抵の場合は盗みの対象は誰でもいいんじゃないですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
なまじサイバーセキュリティに詳しい奴って (スコア:1)
電話や郵送といった、サイバーでない、従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな。
常時盗聴でもしてなけりゃ、パスワード再発行依頼の「電話」なんて知り得ないし、以前から郵便局に勤めてるか、でなきゃターゲットの自宅を知ってて郵便受けを見張ってるとかでなきゃ、いくら平文で郵送されたって覗き見ることなんかできないだろうに。
逆に言えば、電話も郵便も掌握されてパスワード抜かれるほどにピンポイントで狙われてたら、どんな対策してたって破られると思うし。
郵送は最強の通信手段 (スコア:0)
日本では郵送が最強ってサイバーセキュリティに詳しい人ほど知らないんだな。
電話やメールで脅迫して逮捕された例に比べて、郵送で逮捕された例はとても少ない。
電話やメールを特定人物にしつこく送るとストーカー規制法違反になるが、郵送ならセーフ。
違法なデータや物をやりとりしても、電話やメールは盗聴される可能性があっても、郵便物には警察でさえ手出しできません。
Re: (スコア:0)
これ日本じゃなくてイギリスの事件ですよ。
郵便は国によっては信頼性が著しく低いケースがあります。
(イギリスがどうかは知りませんが。)
Re: (スコア:0)
Re: (スコア:0)
「英国でも信頼できるよ!」なら意味のある情報だけど、
「もとは英国の制度だよ!」は信頼性にはなんも寄与してないよ…
制度そのものが持つ信頼性と運用含んだ信頼性はまた別でしょ。
ATMをどんなにしっかり作っても後ろから暗証番号打つとこ見えてたらアウト、みたいなもんだ。
Re: (スコア:0)
捕まるのはおまえみたいなド素人で、サイバーセキュリティに詳しい犯罪者は捕まってないの。
インターネットのほうが厄介なのは、詳しい人ならわかってると思うよw
あと、ヤバイお薬を郵便で送って捕まったニュースよく見るけど、手出しできないってどういうこと?
電話やネットだって郵便と同程度には警察は手出しできないのだが。
Re: (スコア:0)
郵便に関わる犯罪は検挙が難しいんですね。
それが安全とどう関係あるのかわかりませんけれども。
Re: (スコア:0)
そういう問題じゃない。
電話か郵送どっちがセキュアかなんてのは、この問題の根本には一切関係ない。
平文で元のパスワードを送ってくる=”担当者は顧客が自分で設定したパスワードを見放題”
ってとこが問題なの。それこそ本人の使いまわしの是非は置いといて、
悪意を持てばメルアドとそのパスワードで他のサイトのそのユーザーのアカウントを乗っ取れるのだから。
Re: (スコア:0)
さらに言えば「パスワードリセットを依頼したのに元のパスワードを送ってきた」という客の依頼と違うことをしている時点で顧客対応がダメ。
Re:なまじサイバーセキュリティに詳しい奴って (スコア:2)
一般論として。
目的は、パスワードを忘れてしまったアカウントを再び利用できるようにすること。
パスワードのリセットは、きっとそうなるんだろうと先回りして考えたこの人の推測でしかない。
ちなみに顧客対応は、顧客が言ったことをそのとおりに実行するのではなく、顧客が目的を果たすことをサポートすること。
Re: (スコア:0)
なら依頼を受けたときにそのことを伝えればいい。
その理屈では実際に行うことの説明を顧客にせずにいきなり元のパスワードを送ったことを正当化できない。
Re: (スコア:0)
ストーリーを読み直せ!
顧客対応についてしゃべるのはその後で。
まあ、もうしゃべらなくていいけど。
Re: (スコア:0)
アカウントの乗っ取りは違法だからセキュアだろ
Re: (スコア:0)
ただの窓口担当者とは違うけど、コンピューターの管理者に見られる問題はハッシュ化してても同じだよ。
サーバー側でハッシュ化してるんだから、ハッシュ化前のデータはいくらでも捕捉できる。
どんなにきちんと管理してあっても、システムの管理者は、顧客のメールアドレスと(自分のシステムにおける)パスワードを原理的には手に入れられる。
だから使いまわしがだめなわけ。
システム管理者なんていっても、全知全能の聖人ではなくただのおっさんだからね。
Re: (スコア:0)
まぁ、正直、「お前のパスワード知ったところで、何の役に立つんだよ」とは思うわ
Re: (スコア:0)
なりすましてパスワード再発行依頼の電話をする
→郵送されてくるのを待つ
→ポストへ投函されたタイミングで手紙を抜く
→パスワードを取得する
→パスワードの変更はないので被害者は盗まれたことに気が付かない
攻撃対象が固定ならこれほど簡単に攻撃できることもないな。
Re: (スコア:0)
郵便には書留系の郵送法もあるのだが。
Re: (スコア:0)
パスワードの郵便、銀行からちょくちょく来るが、書留だったことなんてないぞ。
Re: (スコア:0)
もうちょっと覚えやすいパスワードにした方がよいのでは
Re: (スコア:0)
ガチ勢によるクレカを抜きとる手口。
https://www.nikkei.com/article/DGXMZO46807920R00C19A7CC1000/ [nikkei.com]
ピッキングはオレも得意w
会社の引き出しとかクリップ2個でサクッと開けちゃうよ。
ダイアル錠もこんなもの
https://twitter.com/ogitech0527/status/1160147913042886656 [twitter.com]
Re: (スコア:0)
>従って自分の手元のPCからは対策のしようがない通信手段のセキュリティを、過小評価する傾向にあるんじゃないかな
それはない。
ソーシャルエンジニアリングなんて基礎の基礎。
Re: (スコア:0)
ピンポイントに狙う前提ならね。
大抵の場合は盗みの対象は誰でもいいんじゃないですかね。