そのサイトは本物? 偽アドレスバーを使った新手のPhishing詐欺 68
ストーリー by yoosee
小さな確認があなたを救う 部門より
小さな確認があなたを救う 部門より
jbeef曰く、"日経IT Proに『“phishing”の新たな手口が出現...』という記事が出ている。phishing(フィッシング)詐欺とは、実在のECサイトや銀行を詐称したメールをばら撒いて、偽のWebサイトへのアクセスを誘導し、クレジットカード番号や、本物サイト用のパスワード等を入力させて盗むというもので、架空請求詐欺のネット版巧妙化手口といえる。昨年から英国や米国で大流行していると報道されているが、日本でもいくらか発生しているようで、Yahoo! JAPANが「不正な個人情報取得メールに関するご注意」という通知を出している。
こうした詐欺に騙されないためには、アクセス先のWebページでブラウザのアドレスバーを見て、表示中のサイトが確かに自分の知っている本物サイトのドメイン名と一致するかを確かめることが肝要だ。しかし今回の新たな手口では、アクティブスクリプトを使ってアドレスバーを出さないウィンドウを開いた上で、そこにインライン画像とテキスト入力欄を使った本物そっくりのアドレスバーを表示するという仕掛けのようだ。"
アドレスバーはセキュリティ上重要な部分で、そこに偽のURLを表示できるような方法が見つかれば、セキュリティホールとして扱われて修正されてきている(IEにURLを偽装できる脆弱性(2003年12月)、重大な脆弱性に対応したIEの緊急パッチリリース(2004年2月)など参照)。
しかし今回の新しい手口はそうした確認方法も絶対ではないことを示唆している。phishing詐欺メールを集めているサイトMillerSimles.co.ukの記事「Browser Address Bar Spoofing - a new tool in a Phisher's box of tricks」では、上記方法の実例として eBayの事例 と Citibankの事例 が掲載されている。
ユーザに可能な自衛策は、右クリックのメニューでプロパティを表示し、見ているページの本当のURLを確認することだろうか。右クリックを禁止しているようなサイトは偽と思ったほうがよい。一方、ブラウザメーカーはこれにどう対処できるだろうか。また、携帯電話にはそもそもアドレスバーが存在しないが、このままで大丈夫なのだろうか。
しかし今回の新しい手口はそうした確認方法も絶対ではないことを示唆している。phishing詐欺メールを集めているサイトMillerSimles.co.ukの記事「Browser Address Bar Spoofing - a new tool in a Phisher's box of tricks」では、上記方法の実例として eBayの事例 と Citibankの事例 が掲載されている。
ユーザに可能な自衛策は、右クリックのメニューでプロパティを表示し、見ているページの本当のURLを確認することだろうか。右クリックを禁止しているようなサイトは偽と思ったほうがよい。一方、ブラウザメーカーはこれにどう対処できるだろうか。また、携帯電話にはそもそもアドレスバーが存在しないが、このままで大丈夫なのだろうか。
心理的トリックもかなり巧妙だったりします (スコア:5, 参考になる)
3月21日に、リンク先のサイトに画面キャプチャが掲載されてたようなやつが2通。
以前Citibankに資料請求したことはあったものの、口座は作らなかったんですが、
どうしてこんなmailが来るんだろうと、しばらく悩みました。
htmlソースをじっくり眺めて、ようやく偽サイトだと気がつきましたが。
htmlを直接表示しないMUAだったのが幸いしたとも。
つか、口座持ってないんでひっかかっても実害はあまりなかったわけですが。
で、お話はこれで終わりではありません。
この後、3月30日に「Citi: For Your Security」と題したmailが来まして、
「最近個人情報を盗難する偽のmailが顧客に大量に届いています。
あなたのセキュリティのために、以下のサイトでPINをアップデートしてください。」
とのこと。Citibankの中の人風なmailアドレスが差し出し人になってます。
これ、よーくhtmlソースを見ると、リンク先はやっぱり偽サイトなんですわ。
詐欺によくある古典的な二段オチなわけですが、これ、うっかりするとひっかかりますって。
アドレスバーの詐称という技術的なトリックももちろんですけど、心理的なトリックも
リアルの詐欺並みに巧妙化している、というお話でした。皆さん気をつけてくださいね。
Citibankもかなり杜撰だったりします (スコア:5, 参考になる)
そのメールの中には "http://citigroupjapan.m0.net/m/s.asp?ほげほげ" なURLが書いてあって、そこにアクセスすると citibank.co.jp なサイトに飛びます。
多分、ダイレクトメールの代行業者でアクセスログを採るためだと思いますがこれについての説明などがどこにも見当たらなかったのでCitibankにクレーム入れようと思っていてそのままになっています。
だから、 というのは実はとても難しかったりするんです。
Re:心理的トリックもかなり巧妙だったりします (スコア:3, 参考になる)
最初に来たやつ(ニュースになる直前)が口座を持ってない銀行を騙ったものだったので、一発で詐欺と見破れたんですが、もし取引のある銀行だったら、どうだったろう…。
で、こういうところ [centralnic.com]が
「○○.uk.com」
なんてアドレスを売ってたりするもんで
「実在の企業名.co.uk.com」(最後の.comを除いたのが実在の銀行のURL)
のような紛らわしいアドレスがそういう詐欺メールに使われていたり。
Re:心理的トリックもかなり巧妙だったりします (スコア:1)
「技術的なトリックに気をつけるのはもちろんだけど、
心理的なトリックも巧妙みたいなんで気をつけてね。」
という趣旨でした。
携帯電話のアドレスバー (スコア:3, 参考になる)
って、DoCoMoなら「URL表示」というサブメニューで閲覧中のページの URI を参照できますよ。
# が、偽サイトかどうかを判断できるかどうかはまた別。
企業側の対策として (スコア:3, すばらしい洞察)
むやみにFLASHを使ったりJavaScriptやActiveScriptを要求したり……。JavaScriptを無効にしていれば今回の偽装アドレスバーは表示されないようですが、本当のその企業や銀行などのwebサイトがJavaScriptを要求するようでは、初心者に「JavaScriptというものをこうやってOFFにすればとりあえず大丈夫だよ」と教えても「けど、これじゃあちこちのwebが見られなくて不便だよ」と言われて仕舞いかねません。
安心してJavaScriptをオフにできるようなwebサイトを求めたいと思っています。
Re:企業側の対策として (スコア:3, すばらしい洞察)
詐欺の責任を技術に求めるのは
筋違いかと思います。
#現実世界にも、詐欺は沢山あるわけで
#誰もJavaScriptをONにしなくなれば、
#詐欺側ももちろんJavaScriptを使わない、
#詐欺を考えてくると思います。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:企業側の対策として (スコア:2, すばらしい洞察)
>筋違いかと思います。
技術自身の存在と、その技術を使用することとは、分離して考える必要があります。十分な検討を行わずに、ある技術を採用することは批判の対象とするべきです。誤った技術の採用による害悪の例は、公害などで顕著に見受けられます。
JavaScriptは、利便性だけを追求して、他の安全性については全く考慮されずに実装された機能だと思えます。安全性については、欠陥技術といっても過言ではないでしょう。(例えば、ここ [plala.or.jp]をみると、JavaScriptの凶悪性がよくわかるかと)
このような「欠陥技術」を危険性の考慮をせずに実装する側と、必要性を検討することなく採用する企業については、批判されるべきです。
殆どの場合、JavaScriptは、必要性が無い、または、使用するべきで無いのに使用されています。エラー値のチェック等、一見クライアント側に実装すると便利そうですが、これを前提にしてホスト側でのエラーチェックを省いたりすると、何らかの方法で作られた異常なデータが送られてきた時、システムが破綻するかも知れません。金融系のシステムなどでは、ホスト側でのチェックは当然に行われるべきなので、JavaScriptは、使用する必然性を失います。
現時点での、JavaScriptの弊害を考えると、「使用しない」方が当然の選択に思えるのに、未だに、使用を強要するサイト構成を取るのは、技術の誤った使用だと思います。
個人的には、JavaScriptは、使用可能な機能に、安全性を根拠にしたレベル分けを儲けて欲しいと思うのですが。
-- Buy It When You Found It --
Re:企業側の対策として (スコア:1)
そんなことはありません。
通常、異なるドメインへのアクセスが禁止されていることからも明らかです。
JavaScriptを使わないように求めるのはちょっと極端だと思います。
いろんなリスクと引き替えに、それでも便利だからインターネットを使っているんでしょ?
JavaScriptがとりわけ危険なもののようには思えないけど。
それに、悪用はブラウザの実装で回避できるのではないでしょうか?
1.アドレスバーやステータスバーを隠せないようにする。
2.右クリックをしたら必ず規定のメニューを表示する。
3.規定時間内に開けるウィンドウの数を制限する。
4.無限ループから抜け出せるようにする。
5.スクリプト停止ボタンを設ける。
これらの制限や機能を設けたところで問題になるようなスクリプトは普通無いでしょ?
ブラウザを作ってる側にこれらを求める方がよっぽど現実的だし、建設的じゃないでしょうか。
Re:企業側の対策として (スコア:1, 興味深い)
1.アドレスバーやステータスバーを隠せる。
2.右クリックをしたら必ず規定のメニューを表示するわけでもないようにできる。
3.規定時間内に大量のウィンドウを開ける。
そういうことができる機能を導入したのが、
JavaScript という腐った設計思想の下で作られた無用な糞機能
なわけですよ。
作ったのは、誰だったかな。
Re:企業側の対策として (スコア:1)
>ブラウザを作ってる側にこれらを求める方がよっぽど現実的だし、建設的じゃないでしょうか。
実際問題としては、今主流のIEでは、それらの制限をする機能が実装されていないし、実装するための機能拡張手段も(私の知る限りですが)ありません。IEコンポーネント使用のブラウザでも、禁止出来る機能は相当限られますし、絶対ユーザも少数です。
個人的には、Firefoxを使っているので、嫌な機能は停止出来るのですが、大多数のPCユーザは、OS標準、又は、最新のIEしか使いませんから、「現状では」JavaScriptの乱用は控えるべきだと思う次第です。
将来的には、前に書いたように、「安全」なスクリプトを分離定義して、それらだけを有効にする機能をブラウザに搭載してもらうのが一番なのですが、誰もその方向を向いていないように思われます。むしろ、別手法が普及して、JavaScriptが自然消滅する可能性が高いかと。
#Firefoxも「禁止」は簡単にできるけど、サイト毎に「許可」する機能は無いんだよなぁ
#Extension書けば良いのだろうけど、気力が...
-- Buy It When You Found It --
Re:企業側の対策として (スコア:1)
> 能が実装されていないし、実装するための機能拡張手段も(私
> の知る限りですが)ありません。IEコンポーネント使用のブラ
> ウザでも、禁止出来る機能は相当限られますし、絶対ユーザも
> 少数です。
そうそう。
だけど、実際問題として今すぐにJavaScriptを使用するサイトが無くなるわけでもない。
当分の間は、痛い目を見る人がでるでしょうね。
でも、そんな人が、「おまえのサイトにJavaScriptが必要だっていうからonにしてたら、他のサイトでとんでもない目にあった。おまえのせいだ」って、いいませんよね?
それよりも、今までJavaScriptで便利に使えてた機能が使えなくなったときの方が、苦情いわれますよ。たぶん。
> 別手法が普及して、JavaScriptが自然消滅する可能性が高いかと。
興味あります。JavaScriptが消滅するときは、ブラウザが別の何かに置き換わるときじゃないかと思っています。
> #Extension書けば良いのだろうけど、気力が...
ぜひ、気力が続くところまでやって公開してください。
Re:企業側の対策として (スコア:1)
この手の詐欺を回避したければJavaScriptをOFFにすればいいが、
そうすると通常のWEBサイトの閲覧が困難になる事が多い。
困るよねって話でしょう。
利便性と安全性を両立させられる、うまい手はないでしょうかね。
自分は当分JavaScriptはOFFにしておきます。
Re:企業側の対策として (スコア:1)
ブラウザに要求するものが変わってくるのは当然だと思います。
ブラウズ用とアプリ用に、別々のブラウザを使うといいのではないでしょうか?
で、アプリ用では慎重に選んだページのみをブックマークして、他からはアクセスしないようにすると。
私自身は、JavaScriptにさほど危険性を感じないので特に分けていないのですが。
offでも動作して、onのときはより便利にっていうのは理想的だけど、実際にはやってられないなー。
作る方の立場からすると…
Re:企業側の対策として (スコア:0)
Re:企業側の対策として (スコア:0)
JavaScriptをOFFにして見れないサイトなんてのは
設計が悪いんだよと言いたい。
そんなにアクセスが見込めるサイトじゃないんだから、
サーバサイドで処理すればええやん。
と、ウチの営業さんに言ってますが、
何故かJavaScriptを使いたがる...。
Re:企業側の対策として (スコア:1)
意図した結果が出るかどうかはわかりませんが……
Q:* Script ONでないと見えないサイト。あなたはどうする?」
1)いつもON
2)しょうがないからONにしてアクセス
3)信頼できるサイトなのか裏を取ってからONにしてアクセス
4)ソースを見て、URL抜き出し
5)そんなダメっぽいサイトにはアクセスしない
etc...
「スラッシュ国民投票 」ネタかなぁ。オチてないからダメか。
ちなみに私は、おおむね5、ときどき4です。
Re:企業側の対策として (スコア:0)
# KDE 3.2.1のKonquerorは不合格でした。
Re:企業側の対策として (スコア:3, すばらしい洞察)
あるいは、ユーザ環境に影響を及ぼしたり、アクセシビリティを悪くしていませんか?ウィンドウサイズを勝手に変更されたり、アドレスバーをいじられたり、通常使えるはずの機能を禁止されたりするようなもの、音声ブラウジングをしている人に不便な使い方などはユーザーとしてはやめてほしいと思うかもしれませんね。
そういった駄目な使い方をしていない、適切な使われ方であれば JavaScript も有用でしょうね。
Re:企業側の対策として (スコア:1)
いるんですよ、規約書いても「読んでない」とかいうバカが。
なので、confirm()で強制表示にさせて [ok]押さないと進めないようにしています。
perlでファイル送信を行う時って、次の頁を作れなかったんですよ。
(ファイル送信選択画面 -> 規約 -> 送信開始 ができない)
単純な入力確認等ならjavascriptなんて使わなくてもいいんですが、
使わざるを得ない時もあるんです。
Re:企業側の対策として (スコア:1)
Cookieにステート埋め込んだら、input TYPE=file の情報を数セッション先に
引き継げるの?
ステート埋め込みってID・PASSの後、ログイン認証されたかどうかの話でしょ?
apache::sessionにしても、セッションIDを発行して、ログイン管理を行うだよね?
俺が知りたいのは、input TYPE=fileをsubmitした後に別ページに飛ばせて、
そこで「了承」してくれたら input TYPE=file を実行するというプロセス。
これがステート埋め込みで実現できるならそっちのがスマートだし
是非覚えたい。
了承をそんな位置にするなとかはナシな。
Reffererチェックにしてもそうだけど、
リファラチェックしたらinput TYPE=fileの内容を
複数回後のリクエストに引き継げるのかな?
つか、ありえない。
ステートもリファラもあくまでログイン管理の話だしょ?
Re:企業側の対策として (スコア:1)
この順番でないといけないんでしょうか?
規約 -> ファイル送信選択画面 -> 送信開始
じゃだめ?
Re:企業側の対策として (スコア:1)
> 了承をそんな位置にするなとかはナシな。
ということですね。
INPUT type=FILEはいじれないので、クッキーを使ってもいいのであれば、
1.ファイル送信ボタンの他に規約確認リンクを用意し、これを読まないと送信できないと表示しておく。
2.規約確認リンクで別ウィンドウを表示し、確認(サーバに通知)させる。
3.確認済み判定用のクッキーを返すなどした後、別ウィンドウを閉じさせる。
4.送信を受け付ける。
(もちろん、確認済みでないときは、受け付けない)
これで一応JavaScriptは必要ない。
まぁでも、送りつけてこられるのは拒否できないから、それが嫌だって言うんなら、スクリプトで制御したくなりますね。
Re:企業側の対策として (スコア:1, 興味深い)
極力、クライアント側(JavaScript)で
チェックしてくれって言う要望はよくききます。
郵便番号辞書を全件裏で持てとか…
#無茶だって
顧客(サイトを公開しているメーカさん)のわがままを聞こうとすると
JavaScriptだのFlashだのに依存した作りになってゆきますね。
見栄えさえよければオッケーみたいなところもありますし。
Re:企業側の対策として (スコア:1, すばらしい洞察)
“戻る”と書かれたアンカーやボタンが"goback()"使ってたりすると、「をいをい」とか思うぞ。
ぐぐって見つけたページが面白いから上の階層から順に見たいと思っても、いちいち手でアドレス入れなきゃならん。
別の意味でNo (スコア:1)
どうしてもJavaScriptを要求された場合はWindowsならIE、MacならSafariに投げる事で回避してます。
JavaScriptの実装がいまいちなネスケ7か、しつこくネスケ使ってる私、どちらかが問題なのですけど…
凛々しく、あほらしく。
自衛策 (スコア:2, すばらしい洞察)
いつかそのうち (スコア:2, 参考になる)
ウィルスでもそうだが、「自分だけは大丈夫」という意識が一番危険なのだから。
くわばら、くわばら、、、、
右クリック禁止は偽サイト? (スコア:2)
新生銀行のパワーダイレクトのリンクは偽ですか?(と言ってみる)
新生銀行のサイトはwww.shinseibank.comですが、パワーダイレクトのリンクはdirect03.shinseibank.co.jpとドメイン自体が違います。
当然、右クリックでは後者のページは表示されません(左押しながら右を押せば表示されるけど)。
Re:右クリック禁止は偽サイト? (スコア:1)
サイトを右クリックしたときに、
”画像を保存”とか、”プロパティ”などの
メニューを表示させる、右クリックを
禁止しているという意味ではないでしょうか?
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:右クリック禁止は偽サイト? (スコア:3, 参考になる)
例えば東京三菱銀行(www.btm.co.jp)だと、direct02.btm.co.jpがコンシューマー向けのインターネットバンキングのサーバになるけど新生銀行(www.shinseibank.com)はdirect0x.shinseibank.co.jpで、一見して偽サイトのように見えるからです
別にこれは新生に限った話ではなく、地銀や後進的な都銀ではインターネットバンキングのシステムを日立やNTTデータのデータセンターに委託していることを隠すために、わざわざポップアップでアドレスバーのない別ウィンドウを開いた上で右クリック禁止しているところがあるということです。だから、右クリック禁止だからといって偽とは限らないし、逆に仮に偽であったとしても利用者には確かめようがない場合もある、ってことが言いたいんじゃないかと(というか酔っ払っている漏れは言いたい)
Re:右クリック禁止は偽サイト? (スコア:1)
FireFoxをつかってると、右クリック禁止の画面まで
いけないようです。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:右クリック禁止は偽サイト? (スコア:2, 参考になる)
URLも表示されません。
左を押しながら右を押して「プロパティ」を表示し、URLを確認しました。
いい案思いつきました。 (スコア:2, おもしろおかしい)
アドレスバーが表示されたらそれは偽サイト。
太古の時代から (スコア:2, 参考になる)
例えばFaxで、「あー、IRSだが、あんたの銀行口座番号とサインをF送りやがれ」という内容が届き、
正直に送り返すと、そのサインを使って口座から送金という方法です。
些細な対策 (スコア:1)
(見た目のカスタマイズもセキュリティ対策に有効なんですねぇ)
IEは4の頃までスキン機能あったのに、何故無くしたんでしょう?
(レジストリ弄れば変更できますが)
心配症なそんなあなたにFireFox (スコア:1)
木目調になっているので、画像でだまされることは
ほぼありえないです。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
いっそブラウザの設定に追加してほしい (スコア:1)
「アドレスバーを隠さない」
って設定がほしいなぁと思ってたんですけど
OperaやFireFoxですらそういう設定はないんですよねぇ
特にOperaでアドレスバーにボタン並べてる人(おいら)なんかは隠されるとちと面倒なんで
その手の詐欺にだまされることがなくても実装してほしいかなぁ
Re:いっそブラウザの設定に追加してほしい (スコア:5, 参考になる)
Re:いっそブラウザの設定に追加してほしい (スコア:3, 参考になる)
Firefoxでは、ですね。
# FireFoxって書く人が多いのは何故?
参考:Bug 196327 [mozilla.org] JavaScript preferences should address hiding location bar, menu bar, etc.
Re:いっそブラウザの設定に追加してほしい (スコア:1)
とりあえずアドレスバー表示は
dom.disable_window_open_feature.location
みたいですなぁ
モデ権ないけど 参考になる+1
#Opera用もこっそりとあるのかなぁ
Re:いっそブラウザの設定に追加してほしい (スコア:2, 参考になる)
(Opera7.23Jで確認)
Re:いっそブラウザの設定に追加してほしい (スコア:1)
同様に IE であれば Ctrl+N で。
疑う気持ちは分かるんですが... (スコア:1)
「ソースを表示」させたくないとか「印刷」させたくないという理由で右クリックを禁止したいという顧客からの要望は現実にあります.
なので,「偽と思ったほうがよい」というのは言い過ぎでは?
Re:疑う気持ちは分かるんですが... (スコア:3, 参考になる)
Re:疑う気持ちは分かるんですが... (スコア:2, すばらしい洞察)
右クリックを禁止などという子供だましの意味がないことでお茶を濁してもしょうがないので、WebでやるものにはWebやるなりの制限があるということをしっかり認識していただいて、お客様の要望は叶わぬ願いですと了承してもらうべきでしょう。
それがどうしてもという要望なのなら、そもそもWebサービスとして行おうとしたのが間違いかと。HTTPに乗っけずにやってくださいなと思う。
偽と思ったほうがよいというわけではないけれど、少なくとも真っ当ではないかと。
Re:疑う気持ちは分かるんですが... (スコア:1, すばらしい洞察)
客にヘコヘコ頭下げるだけの糞人員はいりません。
マイクロソフトのスクリプトは協力かつ柔軟です (スコア:0)
でも、今回のシティバンクのは画面見た限り日本のユーザーは釣れないし(アドレスが英語表記)、右下の鍵アイコンは偽装してませんよねぇ。とか言うと、今度はステータスバーも偽装するのかしら?
Re:マイクロソフトのスクリプトは協力かつ柔軟です (スコア:2, すばらしい洞察)
あまりセキュリティに関心がないユーザ(つまりほとんどのユーザ)はアドレス表記が英語でも気づかないと思います。
Re:マイクロソフトのスクリプトは協力かつ柔軟です (スコア:1)