パスワードを忘れた? アカウント作成
7904 story

そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺 68

ストーリー by yoosee
小さな確認があなたを救う 部門より

jbeef曰く、"日経IT Proに『“phishing”の新たな手口が出現...』という記事が出ている。phishing(フィッシング)詐欺とは、実在のECサイトや銀行を詐称したメールをばら撒いて、偽のWebサイトへのアクセスを誘導し、クレジットカード番号や、本物サイト用のパスワード等を入力させて盗むというもので、架空請求詐欺のネット版巧妙化手口といえる。昨年から英国や米国で大流行していると報道されているが、日本でもいくらか発生しているようで、Yahoo! JAPANが「不正な個人情報取得メールに関するご注意」という通知を出している。

こうした詐欺に騙されないためには、アクセス先のWebページでブラウザのアドレスバーを見て、表示中のサイトが確かに自分の知っている本物サイトのドメイン名と一致するかを確かめることが肝要だ。しかし今回の新たな手口では、アクティブスクリプトを使ってアドレスバーを出さないウィンドウを開いた上で、そこにインライン画像とテキスト入力欄を使った本物そっくりのアドレスバーを表示するという仕掛けのようだ。"

アドレスバーはセキュリティ上重要な部分で、そこに偽のURLを表示できるような方法が見つかれば、セキュリティホールとして扱われて修正されてきている(IEにURLを偽装できる脆弱性(2003年12月)、重大な脆弱性に対応したIEの緊急パッチリリース(2004年2月)など参照)。

しかし今回の新しい手口はそうした確認方法も絶対ではないことを示唆している。phishing詐欺メールを集めているサイトMillerSimles.co.ukの記事「Browser Address Bar Spoofing - a new tool in a Phisher's box of tricks」では、上記方法の実例として eBayの事例Citibankの事例 が掲載されている。
ユーザに可能な自衛策は、右クリックのメニューでプロパティを表示し、見ているページの本当のURLを確認することだろうか。右クリックを禁止しているようなサイトは偽と思ったほうがよい。一方、ブラウザメーカーはこれにどう対処できるだろうか。また、携帯電話にはそもそもアドレスバーが存在しないが、このままで大丈夫なのだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by yoz (6065) on 2004年04月06日 19時58分 (#527517)
    これ、来ましたです。
    3月21日に、リンク先のサイトに画面キャプチャが掲載されてたようなやつが2通。
    以前Citibankに資料請求したことはあったものの、口座は作らなかったんですが、
    どうしてこんなmailが来るんだろうと、しばらく悩みました。
    htmlソースをじっくり眺めて、ようやく偽サイトだと気がつきましたが。

    htmlを直接表示しないMUAだったのが幸いしたとも。
    つか、口座持ってないんでひっかかっても実害はあまりなかったわけですが。

    で、お話はこれで終わりではありません。
    この後、3月30日に「Citi: For Your Security」と題したmailが来まして、
    「最近個人情報を盗難する偽のmailが顧客に大量に届いています。
     あなたのセキュリティのために、以下のサイトでPINをアップデートしてください。」
    とのこと。Citibankの中の人風なmailアドレスが差し出し人になってます。
    これ、よーくhtmlソースを見ると、リンク先はやっぱり偽サイトなんですわ。
    詐欺によくある古典的な二段オチなわけですが、これ、うっかりするとひっかかりますって。

    アドレスバーの詐称という技術的なトリックももちろんですけど、心理的なトリックも
    リアルの詐欺並みに巧妙化している、というお話でした。皆さん気をつけてくださいね。
    • by virtual (15806) on 2004年04月06日 20時30分 (#527531)
      これが困ったことにCitibank自身が送ってくる(と思われる)ダイレクトメールのアドレスが "Citibank@citigroupjapan.m0.net" なアドレスだったりします。
      そのメールの中には "http://citigroupjapan.m0.net/m/s.asp?ほげほげ" なURLが書いてあって、そこにアクセスすると citibank.co.jp なサイトに飛びます。
      多分、ダイレクトメールの代行業者でアクセスログを採るためだと思いますがこれについての説明などがどこにも見当たらなかったのでCitibankにクレーム入れようと思っていてそのままになっています。
      だから、
      表示中のサイトが確かに自分の知っている本物サイトのドメイン名と一致するかを確かめることが肝要だ。
      というのは実はとても難しかったりするんです。
      親コメント
    • ヨーロッパではこの手の詐欺メール、じゃんじゃん来ます。
      最初に来たやつ(ニュースになる直前)が口座を持ってない銀行を騙ったものだったので、一発で詐欺と見破れたんですが、もし取引のある銀行だったら、どうだったろう…。

      で、こういうところ [centralnic.com]が
      「○○.uk.com」
      なんてアドレスを売ってたりするもんで
      「実在の企業名.co.uk.com」(最後の.comを除いたのが実在の銀行のURL)
      のような紛らわしいアドレスがそういう詐欺メールに使われていたり。
      親コメント
    • 自己レス。すみません、最後の段、意味通じませんね。
      「技術的なトリックに気をつけるのはもちろんだけど、
       心理的なトリックも巧妙みたいなんで気をつけてね。」
      という趣旨でした。
      親コメント
  • by waterpot (126) on 2004年04月06日 19時04分 (#527484)
    >携帯電話にはそもそもアドレスバーが存在しないが

    って、DoCoMoなら「URL表示」というサブメニューで閲覧中のページの URI を参照できますよ。
    # が、偽サイトかどうかを判断できるかどうかはまた別。
  • 企業側の対策として (スコア:3, すばらしい洞察)

    by yukitan (21574) on 2004年04月06日 19時29分 (#527502)
    JavaScriptを使わないwebサイト構築を考えて欲しいと思うのはワタシだけでしょうか。
    むやみにFLASHを使ったりJavaScriptやActiveScriptを要求したり……。JavaScriptを無効にしていれば今回の偽装アドレスバーは表示されないようですが、本当のその企業や銀行などのwebサイトがJavaScriptを要求するようでは、初心者に「JavaScriptというものをこうやってOFFにすればとりあえず大丈夫だよ」と教えても「けど、これじゃあちこちのwebが見られなくて不便だよ」と言われて仕舞いかねません。

    安心してJavaScriptをオフにできるようなwebサイトを求めたいと思っています。
    • P2Pでも、よくにた議論がありますが、
      詐欺の責任を技術に求めるのは
      筋違いかと思います。

      #現実世界にも、詐欺は沢山あるわけで
      #誰もJavaScriptをONにしなくなれば、
      #詐欺側ももちろんJavaScriptを使わない、
      #詐欺を考えてくると思います。
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
      • Re:企業側の対策として (スコア:2, すばらしい洞察)

        by BIWYFI (11941) on 2004年04月07日 17時00分 (#527941) 日記
        >詐欺の責任を技術に求めるのは
        >筋違いかと思います。

         技術自身の存在と、その技術を使用することとは、分離して考える必要があります。十分な検討を行わずに、ある技術を採用することは批判の対象とするべきです。誤った技術の採用による害悪の例は、公害などで顕著に見受けられます。

         JavaScriptは、利便性だけを追求して、他の安全性については全く考慮されずに実装された機能だと思えます。安全性については、欠陥技術といっても過言ではないでしょう。(例えば、ここ [plala.or.jp]をみると、JavaScriptの凶悪性がよくわかるかと)

         このような「欠陥技術」を危険性の考慮をせずに実装する側と、必要性を検討することなく採用する企業については、批判されるべきです。
         殆どの場合、JavaScriptは、必要性が無い、または、使用するべきで無いのに使用されています。エラー値のチェック等、一見クライアント側に実装すると便利そうですが、これを前提にしてホスト側でのエラーチェックを省いたりすると、何らかの方法で作られた異常なデータが送られてきた時、システムが破綻するかも知れません。金融系のシステムなどでは、ホスト側でのチェックは当然に行われるべきなので、JavaScriptは、使用する必然性を失います。
         現時点での、JavaScriptの弊害を考えると、「使用しない」方が当然の選択に思えるのに、未だに、使用を強要するサイト構成を取るのは、技術の誤った使用だと思います。

         個人的には、JavaScriptは、使用可能な機能に、安全性を根拠にしたレベル分けを儲けて欲しいと思うのですが。
         
        --
        -- Buy It When You Found It --
        親コメント
        • > 利便性だけを追求して、他の安全性については全く考慮されずに実装された機能

          そんなことはありません。
          通常、異なるドメインへのアクセスが禁止されていることからも明らかです。

          JavaScriptを使わないように求めるのはちょっと極端だと思います。
          いろんなリスクと引き替えに、それでも便利だからインターネットを使っているんでしょ?
          JavaScriptがとりわけ危険なもののようには思えないけど。

          それに、悪用はブラウザの実装で回避できるのではないでしょうか?
          1.アドレスバーやステータスバーを隠せないようにする。
          2.右クリックをしたら必ず規定のメニューを表示する。
          3.規定時間内に開けるウィンドウの数を制限する。
          4.無限ループから抜け出せるようにする。
          5.スクリプト停止ボタンを設ける。

          これらの制限や機能を設けたところで問題になるようなスクリプトは普通無いでしょ?
          ブラウザを作ってる側にこれらを求める方がよっぽど現実的だし、建設的じゃないでしょうか。
          親コメント
          • by Anonymous Coward on 2004年04月07日 20時28分 (#528026)
            > JavaScriptがとりわけ危険なもののようには思えないけど。

            1.アドレスバーやステータスバーを隠せる。
            2.右クリックをしたら必ず規定のメニューを表示するわけでもないようにできる。
            3.規定時間内に大量のウィンドウを開ける。

            そういうことができる機能を導入したのが、
            JavaScript という腐った設計思想の下で作られた無用な糞機能
            なわけですよ。

            作ったのは、誰だったかな。
            親コメント
          • >これらの制限や機能を設けたところで問題になるようなスクリプトは普通無いでしょ?
            >ブラウザを作ってる側にこれらを求める方がよっぽど現実的だし、建設的じゃないでしょうか。

             実際問題としては、今主流のIEでは、それらの制限をする機能が実装されていないし、実装するための機能拡張手段も(私の知る限りですが)ありません。IEコンポーネント使用のブラウザでも、禁止出来る機能は相当限られますし、絶対ユーザも少数です。

             個人的には、Firefoxを使っているので、嫌な機能は停止出来るのですが、大多数のPCユーザは、OS標準、又は、最新のIEしか使いませんから、「現状では」JavaScriptの乱用は控えるべきだと思う次第です。
             将来的には、前に書いたように、「安全」なスクリプトを分離定義して、それらだけを有効にする機能をブラウザに搭載してもらうのが一番なのですが、誰もその方向を向いていないように思われます。むしろ、別手法が普及して、JavaScriptが自然消滅する可能性が高いかと。

            #Firefoxも「禁止」は簡単にできるけど、サイト毎に「許可」する機能は無いんだよなぁ
            #Extension書けば良いのだろうけど、気力が...
             
            --
            -- Buy It When You Found It --
            親コメント
            • > 実際問題としては、今主流のIEでは、それらの制限をする機
              > 能が実装されていないし、実装するための機能拡張手段も(私
              > の知る限りですが)ありません。IEコンポーネント使用のブラ
              > ウザでも、禁止出来る機能は相当限られますし、絶対ユーザも
              > 少数です。

              そうそう。
              だけど、実際問題として今すぐにJavaScriptを使用するサイトが無くなるわけでもない。
              当分の間は、痛い目を見る人がでるでしょうね。
              でも、そんな人が、「おまえのサイトにJavaScriptが必要だっていうからonにしてたら、他のサイトでとんでもない目にあった。おまえのせいだ」って、いいませんよね?
              それよりも、今までJavaScriptで便利に使えてた機能が使えなくなったときの方が、苦情いわれますよ。たぶん。

              > 別手法が普及して、JavaScriptが自然消滅する可能性が高いかと。

              興味あります。JavaScriptが消滅するときは、ブラウザが別の何かに置き換わるときじゃないかと思っています。

              > #Extension書けば良いのだろうけど、気力が...

              ぜひ、気力が続くところまでやって公開してください。
              親コメント
      • 今回のような詐欺にJavaScriptが使われたのは、JavaScriptの所為ではない。
        この手の詐欺を回避したければJavaScriptをOFFにすればいいが、
        そうすると通常のWEBサイトの閲覧が困難になる事が多い。
        困るよねって話でしょう。

        利便性と安全性を両立させられる、うまい手はないでしょうかね。
        自分は当分JavaScriptはOFFにしておきます。
        親コメント
    • webサイトと一括りにしていますが、情報公開が目的のページと、使うことを目的としたwebアプリとでは
      ブラウザに要求するものが変わってくるのは当然だと思います。
      ブラウズ用とアプリ用に、別々のブラウザを使うといいのではないでしょうか?
      で、アプリ用では慎重に選んだページのみをブックマークして、他からはアクセスしないようにすると。
      私自身は、JavaScriptにさほど危険性を感じないので特に分けていないのですが。

      offでも動作して、onのときはより便利にっていうのは理想的だけど、実際にはやってられないなー。
      作る方の立場からすると…
      親コメント
    • w3m使いなのでjavascript逝ってしまへ、に賛成。
      • 安WebSite屋なので「逝ってしまえ」とは言えないまでも、
        JavaScriptをOFFにして見れないサイトなんてのは
        設計が悪いんだよと言いたい。

        そんなにアクセスが見込めるサイトじゃないんだから、
        サーバサイドで処理すればええやん。
        と、ウチの営業さんに言ってますが、
        何故かJavaScriptを使いたがる...。
        • アンケートでも取って、結果を突きつけてみてはどうでしょう?
          意図した結果が出るかどうかはわかりませんが……

          Q:* Script ONでないと見えないサイト。あなたはどうする?」

          1)いつもON
          2)しょうがないからONにしてアクセス
          3)信頼できるサイトなのか裏を取ってからONにしてアクセス
          4)ソースを見て、URL抜き出し
          5)そんなダメっぽいサイトにはアクセスしない
              etc...

          「スラッシュ国民投票 」ネタかなぁ。オチてないからダメか。

          ちなみに私は、おおむね5、ときどき4です。
          親コメント
    • SONY [sony.co.jp]に言ってやってください。あそこのサイトは、そういった機能が正常に動くかどうかの試金石だと思っていたりします。

      # KDE 3.2.1のKonquerorは不合格でした。
  • 自衛策 (スコア:2, すばらしい洞察)

    by futo (10691) on 2004年04月06日 18時52分 (#527477) 日記
    > ユーザに可能な自衛策は、右クリックのメニューでプロパティを表示し、見ているページの本当のURLを確認することだろうか。

    インライン画像とテキスト入力欄を使った本物そっくりのアドレスバーと言うだけなら、
    Windowsのデスクトッププロパティでウィンドウのテーマとかデザインなんかを変えてみたり、
    アドレスバーの下にGoogleバーとかを付けてあれば、変わったのに気づくんじゃないかな…ってのは甘い?
  • いつかそのうち (スコア:2, 参考になる)

    by Diseree (7781) on 2004年04月06日 19時13分 (#527495)
    私の場合、ヤフオクは利用せず、もっぱらeBayなので、いつか引っかかる可能性は否定できない。アドレスバーのタイトルがAddressになっていれば気づく「だろう」というのは理屈でしかない。海外サイトで買い物をすれば、ひたすら英語の嵐。次第に日本語でなくても不思議には思わなくなっていく。そこに落とし穴があると思う。

    ウィルスでもそうだが、「自分だけは大丈夫」という意識が一番危険なのだから。

    くわばら、くわばら、、、、
  • >右クリックを禁止しているようなサイトは偽と思ったほうがよい。

    新生銀行のパワーダイレクトのリンクは偽ですか?(と言ってみる)
    新生銀行のサイトはwww.shinseibank.comですが、パワーダイレクトのリンクはdirect03.shinseibank.co.jpとドメイン自体が違います。
    当然、右クリックでは後者のページは表示されません(左押しながら右を押せば表示されるけど)。
    • 右クリック禁止という意味は、
      サイトを右クリックしたときに、
      ”画像を保存”とか、”プロパティ”などの
      メニューを表示させる、右クリックを
      禁止しているという意味ではないでしょうか?
      --
      romfffromのコメント設定
      AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
      親コメント
      • そうですが何か?

        例えば東京三菱銀行(www.btm.co.jp)だと、direct02.btm.co.jpがコンシューマー向けのインターネットバンキングのサーバになるけど新生銀行(www.shinseibank.com)はdirect0x.shinseibank.co.jpで、一見して偽サイトのように見えるからです

        別にこれは新生に限った話ではなく、地銀や後進的な都銀ではインターネットバンキングのシステムを日立やNTTデータのデータセンターに委託していることを隠すために、わざわざポップアップでアドレスバーのない別ウィンドウを開いた上で右クリック禁止しているところがあるということです。だから、右クリック禁止だからといって偽とは限らないし、逆に仮に偽であったとしても利用者には確かめようがない場合もある、ってことが言いたいんじゃないかと(というか酔っ払っている漏れは言いたい)
        親コメント
      • パワーダイレクトに入ったページで右クリックすると「禁止」の旨が表示されます。
        URLも表示されません。
        左を押しながら右を押して「プロパティ」を表示し、URLを確認しました。
        親コメント
  • いい案思いつきました。 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2004年04月07日 11時46分 (#527783)
    アドレスバーを表示しないに設定しておけば
    アドレスバーが表示されたらそれは偽サイト。
  • 太古の時代から (スコア:2, 参考になる)

    by doctor_d (4392) on 2004年04月07日 12時54分 (#527823) ホームページ
    この手の詐欺 [lycos.co.uk]は太古の時代からあったみたいです。

     例えばFaxで、「あー、IRSだが、あんたの銀行口座番号とサインをF送りやがれ」という内容が届き、
    正直に送り返すと、そのサインを使って口座から送金という方法です。
  • by akatory (12152) on 2004年04月06日 18時59分 (#527480)
    ツールバーにスキン設定すれば簡単に見分けが付きますけどね。
    (見た目のカスタマイズもセキュリティ対策に有効なんですねぇ)

    IEは4の頃までスキン機能あったのに、何故無くしたんでしょう?
    (レジストリ弄れば変更できますが)
  • うちのブラウザはFireFoxで、テーマが
    木目調になっているので、画像でだまされることは
    ほぼありえないです。
    --
    romfffromのコメント設定
    AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
  • Javascriptの詳細設定に
    「アドレスバーを隠さない」
    って設定がほしいなぁと思ってたんですけど
    OperaやFireFoxですらそういう設定はないんですよねぇ

    特にOperaでアドレスバーにボタン並べてる人(おいら)なんかは隠されるとちと面倒なんで
    その手の詐欺にだまされることがなくても実装してほしいかなぁ
  • > 右クリックを禁止しているようなサイトは偽と思ったほうがよい。

    「ソースを表示」させたくないとか「印刷」させたくないという理由で右クリックを禁止したいという顧客からの要望は現実にあります.
    なので,「偽と思ったほうがよい」というのは言い過ぎでは?
    • 左を押しながら右を押せば良い。
      親コメント
    • by yu_raku (419) on 2004年04月07日 2時38分 (#527655)
      要望は「ソースを表示させたくないとか、印刷させたくない」なのであって、「右クリックを禁止したい」というのが要望ではないでしょう。
      右クリックを禁止などという子供だましの意味がないことでお茶を濁してもしょうがないので、WebでやるものにはWebやるなりの制限があるということをしっかり認識していただいて、お客様の要望は叶わぬ願いですと了承してもらうべきでしょう。
      それがどうしてもという要望なのなら、そもそもWebサービスとして行おうとしたのが間違いかと。HTTPに乗っけずにやってくださいなと思う。
      偽と思ったほうがよいというわけではないけれど、少なくとも真っ当ではないかと。
      親コメント
  • by Anonymous Coward on 2004年04月06日 18時52分 (#527478)
    このため、どのようなカスタマイズにも対応するIEのスクリプトはユーザーと利用者に驚くべき体験をもたらす最良のツールです。

    でも、今回のシティバンクのは画面見た限り日本のユーザーは釣れないし(アドレスが英語表記)、右下の鍵アイコンは偽装してませんよねぇ。とか言うと、今度はステータスバーも偽装するのかしら?
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...