パスワードを忘れた? アカウント作成
9963 story

フィッシング詐欺対策ソフトを導入する銀行が登場 114

ストーリー by Oliver
このソフトも騙せば.... 部門より

Anonymous Coward曰く、"欧米で深刻な被害が出ていて日本にも本格的に到来するのではないかと心配されている「フィッシング(phishing)」詐欺。9日の朝日新聞の報道によると、UFJカード東京スター銀行クレディセゾンJCBカードなどが相次いでフィッシング詐欺対策ソフトの導入を決めたそうだ。記事によると、「カード利用者らはソフトをダウンロードすれば、偽のHPかどうかを瞬時に判別できる」とのこと。無料で使用できるのでUFJカード東京スター銀行などのトップページから誰でも試すことができる。WindowsのIE専用となっているのが残念だが、こういったソフトはどのくらい効果があるものだろうか? スラッシュドットの皆さんはこれを使いますか?"

UFJカードのプレスリリースによれば、ここで導入されるソフトはnProtect: Netizen。あらかじめ正規のサイトのIPアドレスをこのソフトに登録しておくことで偽サイトを判別するという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年04月11日 9時39分 (#721272)
    http://takagi-hiromitsu.jp/diary/20050408.html

    さっそく突っ込まれていますが。
    • よーくよむと、なんとなくわかった。

      (1)装った疑いのあるメールが届いた場合、
      (2)東京スター銀行のサイトにアクセスしてからnProtect Netizenを起動する。
      (3)その後、 別のブラウザを立ち上げて
      (4)メールに記載されているURLを開くと、
      (5)正規のページでない場合には「東京スター銀行とは関連のないホームページにアクセスしました。」というメッセージダイアログが表示される。

      とかいてある。
      メールフィッシングにひっかかる人だったら、多分(2)(3)の動作をする前に、(4)の動作をやってしまうから、検出できないんじゃないのか。
      それに「別のブラウザを立ち上げて」という条件もうっかりすると忘れそうで厳しい。
      親コメント
    • by Anonymous Coward on 2005年04月11日 21時33分 (#721567)
      「nProtect: Netizenにセキュリティ上の欠陥が見つかり、修正パッチを配布することにしました」
      という添付ファイルつきメールには、どう有効なんだろう…。
      親コメント
  • by yu_raku (419) on 2005年04月11日 10時48分 (#721320)
    そもそも、一旦正規のサイトを開いてから、改めてメールに記述されたURLからアクセスしなおすなんて人はいないのではないでしょうか。
    正規のサイトを開いたならメールのURLから辿る必要などないですし。

    あれ?指示どうりの使いかたをしたとしても、最初に正規のサイトを開いたときそれが正規のサイトかどうかってどうやって確認するんだろ?
    トップページへアクセスするのにSSLは必要ないみたいだし。

    防げていないものを「防げます」と言ってしまうと、根拠のない安心感を与えて、不用意に信用してしまう人をさらに危険に陥れてしまうように思う。
    • SSLを使ったとしても、偽サイトのSSLか本サイトSSLか鍵マーククリックして確認する奴も殆どいないはず。
      偽メールの偽URLをクリックするくらいなんだから....

      優遇金利などのサービスの案内メールやお知らせメールの送信元メールアドレスのユーザー部分は、秘密鍵と送信先メールアドレスとSHA1などの一方行ハッシュ関数を使って、一意性のあるメールアドレスにして、メールクライアントで仕分け登録して貰った方が安全の気がする。(データベース使うのでも良いけど)

      新着の優遇サービスとかをトップページ等からリンク張らない所はメールでの直リンクを当てにされると思う。
      親コメント
  • ご利用について [nprotect.jp]より。

    ■Windows®XP、2000ユーザーの方へ
    Administrator(管理者)の権限を持つアカウントでのみ、お使いいただけます。

    一番守らないといけないといけないのは、一般ユーザーなんじゃ…

    #あ?なんだかんだで結局みんなAdministrator権限なユーザーで使っ(ry
    #ごめんなさい。自分もAdministrator権限でやってますorz
    • Re:Administrator権限 (スコア:2, すばらしい洞察)

      by Sakura Avalon (12557) on 2005年04月11日 18時14分 (#721482)
      以前「外出先のパソコンからでも安全に自分の環境でインターネットやメールができます」との触れ込みで「Firefox/Thunderbird内蔵のUSBメモリ [hscjpn.co.jp]」発売が発表されたのですが、よく読むとAdmin権限でしか動作しないと書かれていて「ネットカフェで使えねぇ~!!」と思ってしまいました。ネットカフェに限らず外部の人間にAdmin権限で好きに繋いでいいよと開放しているパソコンにはあんまり繋ぎたくありませんし。(すでに何かに侵入されててそれがこちらに及びかねないので。)

      それにしても、こういう対策は「実用性や実効性には疑問があるものの」顧客に対して会社のセキュリティ姿勢を見せる事と「危ないんだからとにかく気をつけろ」と注意を喚起するのには良いと思います。…が、今度は「○○様、UFJ銀行は新たなセキュリティソフトを導入しました。つきましては以下のリンクをクリックしてダウンロードしてください。あ、導入はAdministrator権限でよろしく~☆」とか書かれた妖しいメールが届いて、うっかり導入するとまあお馴染みの展開が…。

      #自分自身は仕事柄Admin権限で動作させなければならないことも多いため危険性などもすべて承知の上で常にAdminで使ってますが、それが普通の使い方だとは思っていません。ましてや日用ユーザー向けならば尚のこと。
      親コメント
    • Re:Administrator権限 (スコア:2, 参考になる)

      by Anonymous Coward on 2005年04月11日 20時23分 (#721525)

      一番守らないといけないといけないのは、一般ユーザーなんじゃ…

      マジレスですが一般ユーザーで使ってる限り最近のWindowsはかなり安全になってます。こういう風に一般人を騙くらかしてスパイウェアを喰わせようとしても、そもそもActiveXコントロールのインストールがIEの設定にかかわらず一切できませんし。

      問題は大半の個人PCにおいてはその一般ユーザーが管理者をも兼ねなくてはならないことですが。

      親コメント
  • by Anonymous Coward on 2005年04月11日 23時31分 (#721615)
    こういう事を汎用性の高すぎるブラウザで行うほうが問題ではないのだろうか?
    WEBアプリを作る側からも自由度が高すぎて右クリックを禁止したくなるし、セッション管理をちゃんとできないなどの不便な点が多すぎる。

    もし、どのOS/ブラウザでも使えますというなら良いけど、特定の環境のみ対応ならWEBにする必要ないと思うのだが、、、(ブラウザが最初から入っているという利点以外に)
  • by Elbereth (17793) on 2005年04月11日 9時45分 (#721277)
    hostsファイルの書き換えによるDNSポイズニングに対応できるんですかね。
    • by baffclan (9449) on 2005年04月11日 10時21分 (#721303) ホームページ
      > あらかじめ正規のサイトのIPアドレスをこのソフトに登録しておくことで偽サイトを判別するという。
      使っているIP自社管理のものではなくがホスティングサイト(広告代理店)のものを借りていた場合には
      どうするんでしょう。
      サイトの開設場所が変更になったときに、重要なお知らせというダイアログが開いて、
      「IPアドレスが変更になりましたので、変更をお願いします。」とでたら、信じていいのでしょうか。
      親コメント
      • Re:微妙 (スコア:2, おもしろおかしい)

        by kei6 (13167) on 2005年04月11日 15時39分 (#721436)
        それは大丈夫です。
        起動時にActiveXスクリプトで指定されたファイルを設定ファイルとして自動的に読み込んでアップデートする仕組みになっています。
        設定ファイルの中身がどうして信用できるのかは、解析が禁止されているヒミツのテクノロジーなので調べていません。
        ちなみに、ActiveXコントロール自体は「スクリプトを実行しても安全だとマークされているActiveXコントロール」なので、どこからでも起動できますし、外部から観測した限りでは、設定ファイルとして指定したファイルをGETする様ですが、実際に何が起きているかは、解析が禁止されているヒミツのテクノロジーなので調べていません。
        何かまずいことが起きている様な気もしますが、解析が禁止されているヒミツのテクノロジーなので調べていません。
        親コメント
    • by urandom (26447) on 2005年04月11日 11時07分 (#721329)
      hostsファイルはDNSそのものとは無関係では?
      親コメント
      • by Elbereth (17793) on 2005年04月11日 11時50分 (#721355)
        別にDNSとhostsが云々を言ってるんじゃないんですけどね。

        「DNSポイズニング」という攻撃手法には大別して2つの方法があり、一つはDNSサーバーに虚偽の情報を流すというもので、もう一つがクライアントのhostsファイルの書き換えをするというものなんですよ。詳細はぐぐってください。

        IPアドレスを登録しているからとりあえずこの点だけは問題ないというのは別レスで指摘されて納得です(というか資料全部読んでないのがバレバレ)。
        親コメント
        • Re: 微妙 (スコア:2, 参考になる)

          by taka2 (14791) on 2005年04月11日 12時43分 (#721378) ホームページ 日記
          違いますよ。

          「ホスト名とIPアドレスの対応を騙す」という攻撃として、よく使われる方法が2つあり、
          一つはDNSのサーバに虚偽のホスト情報を送り込んでキャッシュさせる「DNS cache poisoning」というもので、
          もう一つが、クライアントのhostsファイルを書き換えるというものです。

          hosts書き換えもDNSポイズニングと呼んでるとこもよく見かけますが、
          それは、ワームとかスパイウェアのことまで引っくるめてウィルスと呼ぶようなものですね。
          親コメント
          • by urandom (26447) on 2005年04月11日 12時52分 (#721381)
            そうそう、まさにそーゆーことが言いたかったのです。

                                                                    多謝.
            親コメント
    • by Anonymous Coward
      ホスト名ではなく IP アドレスを登録するので、それは OK
      • by Taruki (304) on 2005年04月11日 10時32分 (#721311) ホームページ
        本物のIPアドレスを入力しても偽サイトに誘導させるProxyサーバーとして動作するワームを組み込まれたりして。
        親コメント
      • by Anonymous Coward
        > > hostsファイルの書き換え....DNSポイズニングに対応できるんですかね。

        当然対応できない。なぜなら、このソフトを起動するためにまず本物サイトへ、ブックマークとかで一旦行かないといけないんだから。

        > ホスト名では
        • by yanagi (6075) on 2005年04月12日 1時14分 (#721655) ホームページ 日記
          1)このソフトにIPが埋め込まれていて比較を行う。
          2)httpsによるアクセスが行われる。
          のどちらかを行う事で対応できます。
          --
          やなぎ
          字面じゃなく論旨を読もう。モデレートはそれからだ
          親コメント
  • by Anonymous Coward on 2005年04月11日 9時51分 (#721281)
    では実際にごらんください [nantoka.com](検証ページ)

    さっそくダメぢゃん。
  • by Anonymous Coward on 2005年04月11日 10時48分 (#721321)
    どうしてもっとまともな対策(正式なドメイン名のアピールと、
    SSLでのドメイン名確認方法の強調)をしないで、こういう
    あさっての方向に走ってしまうんでしょうね。

    東京スター銀行の場合、たとえ SSLで
    https://www.tokyostarbank.co.jp/
    にアクセスしても、このnProtectサービスへのリンクは
    http://nprotect.netmove.co.jp/service/npnv4/tsb/npro_start.php
    のようにSSLを使わずに辿ることになります。
    つまり、ここでDNS poisoning とかされてたら、偽の詐欺対策ソフト
    を sandbox による保護なしに起動することになりかねず、安全どこ
    ろか、顧客のPCの不正な乗っとりのための仕組みを、わざわざ提供
    していることになりかねないのでは?
    • by ruto (17678) on 2005年04月11日 13時36分 (#721403) 日記
      SSLでのドメイン名確認方法がめんどうだからじゃないでしょうか。
      証明書もドメイン名も横文字ばかりでめんどくさいという人も多いと思います。

      証明書に画像(ロゴ)を入れられるようにして、ブラウザがそれを発行者のロゴと一緒に表示するようにすればいいのに。
      ロゴは似たようなのが多いから難しいか。
      親コメント
    • by Anonymous Coward
      >どうして...こういうあさっての方向に走ってしまうんでしょうね。

      儲からないからさ。
      正しい対策方法で売り込んだんではどうやっても儲けが出ない。

      金にもならない本当のことを説いてまわる奴なんていない。
      世の中はボランティアじゃなくてビジネスで回ってるわけよ。
  • by Yuryu (19524) on 2005年04月12日 16時25分 (#721861) ホームページ
    ネット越前に見えました。
    えらく斬新なネーミングだと思ってしまいました...
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...