パスワードを忘れた? アカウント作成
11123 story

無料Phishing対策ソフトが登場、しかし問い合せ画面は「オレオレ証明書」 144

ストーリー by yoosee
紺屋の白袴...ってそもそも紺屋なのかい? 部門より

あるAnonymous Coward曰く、"10月24日のCNET Japanの記事日経ITProの記事インターネットコムの記事などによると、クローバー・ネットワーク・コム社が、フィッシング詐欺とファーミング詐欺を防止できるとする偽サイト判定ソフト「DocWall」の無償配布を開始したそうだ。

動作の仕組みは、同社がホワイトリスト(正規サイトのドメイン名とIPアドレス)とブラックリスト(偽サイトのアドレス)を管理し、それにしたがって、ブラウザ側で警告を出したり、本物サイトであることを表示したりするというもの。これらのリストは、自動アップデイト機能によってダウンロードされるという。
利用者側は無料だが、サイト運営者側は同社のホワイトリストに掲載してもらうのに年額10万~200万円の料金が必要。「フル機能」の場合は、大手金融機関で契約金2000万円、年間運用費2000万円からとのこと。

ところで、そのクローバー・ネットワーク・コム社のサイトには、SSLで接続される「お問い合せ」のページがあるのだが、これが先日話題となった「オレオレ証明書」で運用されているようだ。自動アップデイトの通信の安全性は大丈夫なのだろうか。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年10月28日 12時58分 (#821698)
    大して役に立たないが、素人目にはなんだか役に立つかのように見えるクライアントソフトを、低コストで開発する。
      ↓
    クライアントソフトを無料で配りまくる。
      ↓
    パソコンメーカーに、掲載料を払ってでも、プリインストールしてもらって、とにかく普及させる。
      ↓
    サーバーサイト側に「登録してあげます」と登録料を要求する。登録事務にかかる適正価格とは桁違いの値段を登録料とする。
      ↓
    元締め会社はウマー
      ↓
    サイト側でかかった不要支出の分だけ消費者が見えないコスト負担を強いられる。
      ↓
    消費者はなんだかよくわからないものを使わされるだけ。
  • by Anonymous Coward on 2005年10月28日 13時59分 (#821736)
    いやギャグではないにしても。
    製品紹介ページ [clovernetwork.co.jp]で製品名が間違ってる>Doc Bell
    ・導入手順1.「DocWallのダウンロードアイコンをダブルクリックしてください」
    ・ダウンロードはHTTP
    ・実行ファイルにもデジタル署名無し
    オレオレ証明書の他にもやる気の無さは現れまくってますがな。
    これで何を保証しようというんだ。

    いや 何も保障しない と利用許諾表示画面で言っているから問題ないのか
  • by Anonymous Coward on 2005年10月28日 14時12分 (#821751)
    星澤裕二メモ CNCのフィッシング対策ソフト「DocWall」を試してみた [hatena.ne.jp] によると、
    現時点ではブラックリスト(C:\Program Files\docwall\list\webhostblackか?)には何も登録されていないようだ。
    また、
    ファーミングにも警告を出すとのことだが、hostsファイルを書き換えてフィッシングサイト(東京三菱銀行「www.btm.co.jp」にフィッシングサイトのIPアドレスを設定)にアクセスしてみると、「認証済みのサイトにアクセスしています。」と表示されてしまった。
    とのこと。また、星澤裕二メモ CNCのフィッシング対策ソフト「DocWall」を試してみた(続き) によると、
    ホワイトリストファイル(C:\Program Files\docwall\list\webhostwhite)の改ざんチェックをしていない。空のファイルと置き換えてみると、それまで認証済みサイトと表示していたサイトが未登録サイトになってしまう。
    とのこと。つまり、hosts ファイルを改竄されるようなときは、webhostwhite も書き換えられちゃうわけですね。

    さらに、The Wind of Blessing 「フィッシング詐欺防止システムDocWall」 [seesaa.net] にも体験レポートがあるようです。

  • by tetsuya (11853) on 2005年10月28日 12時53分 (#821693) 日記
    証明書の発行者が「CloverNetworkCom Co.,Ltd.」とまさにオレオレですね(笑)

    しかも、タレコミにあるcnetなどの記事によると
    ホワイトリスト掲載などに必要な「Web認証登録」の料金は、年額10万~200万円。また「フル機能」を利用する場合の価格は企業規模によって異なり、大手金融機関の場合で契約金2000万円、年間運用費2000万円から。
    とホワイトリストへの掲載は有償、いったいどこの会社が登録するのでしょうか?大体、特別なクライアントが必要で、一般的じゃないホワイトリストを利用するメリットが分かりません。なによりもVeriSignなりの既存の認証機関により、ブラウザで自動的にサイトが本物であるとわかる仕組みがすでにあるというのに、、、
    • 新手の詐欺 (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2005年10月28日 13時27分 (#821708)
      っぽい感じが… 少し前に話題になった例のとこみたいにならないと良いけどね。
      親コメント
    • by nim (10479) on 2005年10月28日 13時57分 (#821734)
      既存の SSL の仕組みを使ってO銀行のサイトを確認する為には、
      a. O銀行のサイトのドメイン名を正確に知っていて、
      b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。

      必要があります。
      O銀行が o-bank.com だとして、ο-bank.com を悪い人が
      使っていたとしたら、普通のユーザに区別がつくでしょうか。

      ですから、極限定的なエントリからなるホワイトリストを、
      そもそも信用のある主体が管理するモデル(例を挙げれば、
      金融庁の管理する銀行サイトホワイトリスト)
      であれば
      有効だと思います。

      今回上記条件を満たしているかどうかは疑問ですが。
      親コメント
      • by Anonymous Coward on 2005年10月28日 14時01分 (#821738)
        >b. SSL 証明書の cn がそのドメイン内のサーバであることを確認する。

        CN がアドレスバーのホスト名と一致するかは SSL クライアントが自動的に検査してくれるので、人が確認する必要はありません。
        親コメント
        • by nim (10479) on 2005年10月28日 14時46分 (#821769)
          まあ、アドレスバーでも証明書でもどちらで確認してもいいと思うのですが、アドレスバー偽装(きちんとアップデートされているUAなら問題ないでしょうが)の可能性からアドレスバーよりもcnを見た方がより安全かなと思ってこう書きました。

          親コメント
    • ホワイトリストに載せるお金を出さないと、ブラックリストに載せたり、フィッシングサイト作ったりするぞ。
      と言うような新手の企業恐喝に使えそうですね。

      # つるかめつるかめ…

      --
      --暮らしの中に修行あり。
      新しいblogはじめました。 [hateblo.jp]
      親コメント
    • by ryo_jp (9684) on 2005年10月28日 14時10分 (#821748)
      Web認証登録ってのの値段は何処からくるのだろうか?
      ホワイトリスト掲載に載せたとして、その費用に似合うだけの何をやるのだろう。
      質の悪いミカジメ料にしか見えない。
      親コメント
    • by nenoneno (28388) on 2005年10月28日 15時08分 (#821773) 日記
      タレコミの部門名からして、すでに...

      #だめそう
      親コメント
  • by Anonymous Coward on 2005年10月28日 15時00分 (#821771)
    同社の製品ラインナップを見ていたのですが、
    国内、全固定電話番号2億1千万件に発信して、電話の使用状況を調査します。 [clovernetwork.co.jp]

    これっていわゆるワンギリソフトでしょうか?
    • by PEEK (27419) on 2005年10月28日 15時53分 (#821789)
      時々早朝や深夜にほんのわずかな時間、電話が鳴ることがあるんだがこういうののせいなのか。

      #なんとなく鳴ってるときにうまく取れたらいい事あるんじゃないかなー、とか考えてたけど。
      --
      らじゃったのだ
      進め!恋する乙女♪
      その戦闘氏族の成れの果てがこれ
      親コメント
      • Re:DocBellってのも… (スコア:3, おもしろおかしい)

        by harupunte (10435) on 2005年10月29日 1時53分 (#822032) 日記
        夜中にだだっ広いフロアで1人で仕事しているとき、
        フロアの端から電話の音が段々近づいてきて
        通り過ぎていくのは、ナカナカ怖いものがあります。

        最初に体験したときは、ビビッた。
        親コメント
    • by Anonymous Coward on 2005年10月28日 15時30分 (#821780)
      自宅の回線とPHSに、音声無しの所謂機械的な接続と思われる
      着信があったのですが これかもしれないですね
      しかもわりと最近なので。
      (しかも、非通知ですよ)
      親コメント
      • by seoth (17664) on 2005年10月28日 16時15分 (#821796)
        この手のソフトは昔から多数有りましたよ。
        私が3年前に引越しして固定電話を設置した当時、暫く毎日のように留守電に非通知・メッセージなしの着信があったのですが、最近は週に一回程度になりました。恐らくこういうソフトを使ってる業者の間に"生きてる番号"として浸透したんでしょう。

        ちなみに、固定電話に非通知で毎日時間帯をずらして電話を掛けてきて、出た途端に切られる場合、その相手は"こちらが不在にする曜日・時刻パターン"を調べている泥棒とも考えられます。
        親コメント
  • 悪徳商法?マニアックスに関連する掲示板で
    議論されている [2log.net]ようです。
    このときこの会社が売り出したのは「企業などの中傷を
    含んだ悪質なホームページを検索するサービス」だったとか。
    当事の議論では、これはむしろ悪徳商法を行なう企業に
    与しかねない危ういサービスではないか、という論調が
    見受けられます。
  • 証明書 (スコア:3, 参考になる)

    by Anonymous Coward on 2005年10月28日 12時44分 (#821686)
    オレオレ以前に期限が切れてる…
  • by tit (23686) on 2005年10月28日 13時22分 (#821704)
    って何を基に作るのだろう?と素朴な疑問。
    ざっと見ただけなのでどこかに書いてあったらごめんなさい。
  • by Anonymous Coward on 2005年10月28日 13時52分 (#821727)
    2005年4月に「プライバシーマーク」の認定を受けました [clovernetwork.co.jp]
    だそうですよ。

    プライバシーマーク認定機関っていったい・・・・
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...