パスワードを忘れた? アカウント作成
9318 story

フィッシング詐欺を阻止せよ! 61

ストーリー by yoosee
自衛だけでは足りないこともある 部門より

Anonymous Coward曰く、"8日の INTERNET Watch の記事によると、Yahoo! JAPAN がフィッシング詐欺対策などを掲載する「Yahoo!セキュリティセンター」をオープンしたとのこと(ヤフー株式会社のプレスリリース)。
11月16日の ITmeida の記事が伝えたように、Yahoo!JAPAN ではクレジットカード番号などの詐取を試みるフィッシング詐欺のターゲットにされる事件が起きている。手口は巧妙になってきているといい、「Yahoo! JAPAN IDを抜き出され、画面ごと偽造されてしまう」ものだったという。高木浩光氏の日記での解説によれば、Yahoo!メールにクロスサイトスクリプティング脆弱性があったことが原因でフレームを埋め込まれていたのだそうだ。同氏の日記にはたくさんのトラックバックが寄せられていて、「フィッシングなんて自分は平気だと思っていたけど、これには騙されてしまいそう」などといった反応が多いようだ。
Yahoo!セキュリティセンターはフィッシング詐欺を阻止する妙案を打ち出せるだろうか(参考:ITmedia の関連記事一覧)。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by virtual (15806) on 2004年12月09日 16時34分 (#663889)
    フィッシングを"fishing"と思い込んでしまっている時点であなたはもう騙されてます。

    #"phishing [e-words.jp]"ですよ~>釣られた方々
    • by jtaka (2821) on 2004年12月09日 16時45分 (#663892)
      > フィッシングを"fishing"と思い込んでしまっている時点であなたはもう騙されてます。

      TBSのお昼の「情報とってもインサイト」で、「フィッシング」を説明する女性アナウンサーが、「釣り」の身振りをしたのが印象的でした:)
      親コメント
      • 世間なんてそんなもんでしょ。
        いつぞやのニュースでも男性のアナウンサーだかコメンテーターだかが、「餌で釣るフィッシング詐欺」みたいな表現してましたし。

        DVDをデジタルビデオディスクと思い込んでる人が多いように、イメージが繋がってつじつまが合えば自分の身近な単語を当てはめても仕方ない。
        • by astro (17245) on 2004年12月09日 17時35分 (#663918) 日記
          ありますね。こういうの。

          少し前のWBSでは"HD DVD"のことを"ハードディスクDVD"などと読んでいましたよ。

          #後で訂正してたけど。
          親コメント
        • > DVDをデジタルビデオディスクと思い込んでる人が多いように

          正直、あれは間違えてもしょうがない気がします。
          DVDという用語 [oitda.or.jp]」
          親コメント
        • >DVDをデジタルビデオディスクと思い込んでる人が多いように、

          えっ、違ったの??
          と、慌てて調べて、初めて何の略か知った自分は一体…
          実は知りませんでした。 orz

          2ヶ月ぐらい前に初めてDVDドライブを購入した身とはいえ、リテラシー不足を実感してしまいました。
          • by Anonymous Coward
            >スピンドル無しノートPCがメインマシン、
            >
            ノースピンドル・ノートPCはたしかにないことはないけど、それをメインで
            使ってしまうとは…いや、ご立派です。脱帽しました。
            • by sakamoto (8009) on 2004年12月09日 21時14分 (#664001) 日記
              メモリースティックの Knoppix とか?
              # あとは WindowsCE 機とか
              --
              -- 哀れな日本人専用(sorry Japanese only) --
              親コメント
            • by Anonymous Coward
              >ノースピンドル・ノートPCはたしかにないことはないけど、それをメインで
              >使ってしまうとは…いや、ご立派です。脱帽しました。

              Thinkpadならネットからブートができるので
              まぁコレでもやっていけますよ
              # 元ACとは別人より
            • by Anonymous Coward
              > ノースピンドル・ノートPCはたしかにないことはないけど、それをメインで
              > 使ってしまうとは…いや、ご立派です。脱帽しました。

              ごめんなさい。意図したところは「*HDD以外の*スピンドル無し」でした。慣れない用語は
        • >DVDをデジタルビデオディスクと思い込んでる人が多いように、

          ドゥー・ビデオ・ドゥーですよね。
    • by Inetpub (20077) on 2004年12月09日 17時15分 (#663906)
      "釣り"の意にかけた言葉遊びなのでニュアンスがわかりづらいと思います

      日本語訳にするときは
      「"ふ"ィッシング」
      とかにしておけばいいんじゃないかと
      親コメント
    • by mirz (21166) on 2004年12月09日 19時39分 (#663971) 日記
      騙されてました... orz
      --

      /*-+/*-+/*-+/*-+/*-+/
      Allez! Allez! Allez!
      親コメント
    • by nekonyan (3158) on 2004年12月10日 8時29分 (#664186) 日記
      フィッシングという言葉自体が良くないのでは?
      一般の人にもすぐ理解できる言葉でないのが
      認知を妨げているように思えますが。
      親コメント
    • まんまとfishingだと思ってました...orz

      # 恥ずかしいので晒しID
      親コメント
    • 実際、釣り上げるっていう意味にひっかけているんだから、
      あながち間違いじゃないでしょ。
      phishing か fishing かなんてどうでもよいことなのでは?
      • Re:フィッシング詐欺 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2004年12月09日 17時57分 (#663929)
        > 実際、釣り上げるっていう意味にひっかけているんだから、
        > あながち間違いじゃないでしょ。
        > phishing か fishing かなんてどうでもよいことなのでは?


        釣られてますよ。
        親コメント
      • by kehi (11116) on 2004年12月11日 9時14分 (#664701) 日記
        私は正しい綴りを知ってましたが、それでもあなたに一票。
        意味を理解していればどちらでもいいこと。
        むしろ憶えやすいのはphishingという表記よりfishingの方がまだマシだと思います。
        親コメント
  • by Anonymous Coward on 2004年12月10日 1時27分 (#664136)
    XSSによるサイト偽装問題を2年前に軽く見ていた人のコメント [srad.jp]をどうぞ。
    「一件、銀行のログイン画面のように見えて、口座番号と暗証番号を入れると、実は全然違うサイトに送信してしまう、という恐ろしいことが起こりえますね。」

    銀行などではログイン手続きの時には既にSSLが成立しているのに?
    というのはそれはさておき。こんなすぐバレて、追跡し易く、かつ、きっちりと犯罪が成立するような、リスクがめちゃくちゃ高いことをするドキュソは滅多にいないだろうと思われ。まあせいぜい26歳男性(無職)の2ちゃんねらーがOFFICEや高木のコードを猿真似して作って何の成果もなくすぐ捕まるってのがオチだろう
    (藁。まあ、あとは民事、刑事の両方で裁判所に通いなさいってこった。

    甘かったね。このコメント書いた人。一般のネット利用者のことを脳内から都合よく排除してた証拠だ。
    普段からセキュリティについて考えているような人は(仕事上関係のある人を除けば)さほど多くない。
  • by Inetpub (20077) on 2004年12月09日 15時33分 (#663851)
    Yahoo!のトップページ [yahoo.co.jp]から
    Yahoo!セキュリティセンター [yahoo.co.jp]ってどうやったらたどり着けるんだろうか。

    その程度の注意喚起なのかなぁ。
    • Re:なんだかなぁ。 (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2004年12月09日 15時42分 (#663857)
      簡単ですよ。

      「検索」と書いてあるボタンの隣のテキストボックスに、
      「Yahoo!セキュリティセンター」と入力してボタンを押したら、
      一発で辿り着けましたよ。

      #え、違う?
      親コメント
    • by hideakis (2762) on 2004年12月09日 15時52分 (#663863) 日記
      Yahoo!カテゴリのコンピュータとインターネット -> Yahoo!カテゴリのセキュリティと暗号化 -> Yahoo!登録サイトのYahoo!セキュリティセンター
      で行けます。
      親コメント
  • 最大の対策は (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2004年12月09日 16時01分 (#663873)
    Yahoo!を使用しないこと?
    • Re:最大の対策は (スコア:1, 参考になる)

      by Anonymous Coward on 2004年12月09日 16時56分 (#663899)
      現時点で元コメントが「フレームのもと」とモデレートされているけれど、これはある意味において正鵠を射ていると思う。

      Yahoo! のカスタマサービスにメールを出しても定型文に毛の生えたようなメールしか帰って来ないことはよく聞かれる。私も Yahoo! オークションで明らかなシステムの誤動作による被害を被ったが、何度説明しても頓珍漢なメールしかもらえなかった。

      有料サービスですらこの有り様なのだから、無料メールしか使っていない人は何かあったときに誠意ある対応をしてもらえるとはとても思えない。メールの場合、何か起きたときの被害を思うと、「無料なのだから仕方ない」とは割り切れないので。

      # 「Yahoo! パーソナル」で一人も釣れなかったので AC
      親コメント
      • by Anonymous Coward on 2004年12月09日 17時05分 (#663903)
        それは回避策のひとつではあっても「対策」じゃないでしょ?>使わない
        だからマイナスなんじゃね?

        たとえばY!オークションを利用している人に、他のオークションでやれというのは
        言うは簡単でも実際はユーザー数とかもあって結構難しい。

        多くの人は理由があってY!を利用しているのだから、使わなければ良いというのは
        多くの場合解決にはならない。(全てとは言わないが)

        それともあなたはパンがないならお菓子を食べれば良い的な人?
        親コメント
        • by Anonymous Coward
          >それともあなたはパンがないならお菓子を食べれば良い的な人?

          パンがないならパンを作ればいいのだ。

          というのが起業家精神。
        • by Anonymous Coward
          > それともあなたはパンがないならお菓子を食べれば良い的な人?

          そこまでYahooの利用が死活問題になる人は、
          孫とチャリンカーくらいしか思いつきません。
          • by Anonymous Coward
            >そこまでYahooの利用が死活問題になる人は、

            プ
            ダサ

            というか釣り?

            分かってると思いますが、Y!と飯は関係ないですよ。
            釣りにマジレスするなら、代替にならないものを提示して
            それを代替にしろという例えですが。

            しかしヤフオクでないと出てないもの、売れないものは多い。

    • >「フレームのもと」

      XSSってよくわかんないんですが
      フレーム機能が原因の気がするので

      ブラウザ側でフレーム機能を廃止すればいいような気がします
      javaもjavaスクリプトも廃止

      • JavaScriptは正直いらない事多いですよねぇ。。
        ただ無効にしてるとなんでここでJavaScript?なんて使い方が多いから困るのだけど。
        危険だから無闇に使うなと結構前から言われていると思うんだけどね。

        ストーリの本題の方は
        異なるドメインのソースに関しては同じ窓にレンダリングしないようにしてくれればいいのだろうか。
        FireFoxの「同じWebサイトにある画像のみ読み込む」オプションの拡張版みたいなやつ。

        バナーとかアクセス解析とか面倒になりそうだけど。使用者の立場としてはそんなもんどうでもいいしなぁ。

        #ブラウザのアドレス欄以外に常に接続先をチェックする仕組みがあればいいかと思った。netstatでもいいけど。
        #が、広告バナーに満ち満ちたサイトではまったく使い物にならないんだろうなぁ。
        親コメント
  • by Anonymous Coward on 2004年12月10日 0時24分 (#664111)
    各種ブラウザ共通の問題 [google.co.jp]が、いかにもフィッシングに
    悪用されそうとの触れ込みでニュースになっています。

    IE(5.01,5.5,6)、Mozilla(0.x~1.7.x #1.8xは?)とFirefox(0.x~
    1.x)、Opera(7.x)、Safari(1.x)、Konqueror(3.x)、Netscape(7.x)
    にsecuniaからアドバイザリが出ています。
    共通のテストページ [secunia.com]。

    最近、各種ブラウザ共通の脆弱性が多く発見されているように
    感じますが、目こぼしなく監視してくれるのは良いことですね。

    なお、コンポブラウザ(や名前の挙がっていないブラウザ)を
    お使いの方もテストページでご確認の上、怪しいページから
    信用できるページへ跳ぶ際はご注意くださいませ。
    Epiphany 1.4.6(Mozilla 1.7.3)はアウトでしたから。
  • by Anonymous Coward on 2004年12月09日 16時07分 (#663877)
    同一URLからのリトライ回数が一定数を超えたら、一定時間ログイン禁止すればいいのでは...

    正当なユーザーも困ってしまうのかな?
    • by syd (2367) on 2004年12月09日 16時51分 (#663895)
      リトライ回数制限はフィッシング対策に
      ならないのでは? 
      偽サイトからは騙されたユーザが入力した
      「正しいパスワード」が送られてくるわけで。

      同じIPアドレスから大勢のユーザが
      ログインしてくるのは怪しいけど、
      正規のプロキシの可能性もあるしなあ。
      親コメント
  • by Anonymous Coward on 2004年12月09日 16時13分 (#663881)
    Yahooを使ってる人間が
    >自分は平気だと思っていたけど、これには騙されてしまいそう
    というのは、「ココは笑うところですよ」なんでしょうか?

    それはさておき、
    【重要】詐欺メール注意のお知らせ [softbankbb.co.jp] (追加情報) [softbankbb.co.jp]とか
    【重要】不審な「IP電話に関するアンケート」についてのお知らせ [softbankbb.co.jp]とか
    こうも立て続けにターゲットにされてるということは、
    顧客数が多いということもあるんだろうけど、簡単にひっかかるカモも多いとか思われてるんだろうなぁ……
      #ソフトバンクがそういうことをやっても不審に思われないとも思われてるな(w
    • by burebure (20446) on 2004年12月10日 10時35分 (#664239)
      結果的に生じるリスクや,一般的にこういうことは入力させないとかそういうことを知っていればだまされることはないと思いますが,単に,これが「Yahoo自身のお願いかどうか?」って判定がかなり困難に仕上がっていると思います.
      親コメント
  • by Anonymous Coward on 2004年12月10日 1時42分 (#664140)
    あなたのCITIBANKの口座に云々、とメールが来たので、早速アクセス。IDに「Fuck」、パスワードに「You」で入れまして、そのあとはでたらめな情報を記入。サイトそのものは「きょうの格言」みたいなのもある、非常にきれいなサイトでしたよ。ちょっと楽しんできました。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...