  |
はてなキーワード: フィッシング詐欺とは
母が佐川の不在連絡装ったSMSに騙されてURLクリックしてauのかんたん決済で数万引き落とされてしまった
UQモバイルになんかいっぱい引き落とされてるけどなんでーって電話してるところで俺が気づいた
まあ関係ないしな
ただappleだと返金とかしてくれるはずと思ってぐぐったらいろいろでてきてやっぱりと思ってすぐ電話させた
結果、返金してもらえた
泣き寝入りさせずに済んで良かった
これをきにかんたん決済は使えないように設定した
有料アプリを買うにはクレカかitunesカードしか使えないようになったが基本アプリ買うこととか課金することとかないから問題ない
あとありえるとしたらitunesカード買って番号教えろ詐欺か
しかしムカつくわ
こんなんに騙されんなよと、意味がないと思いながらも何度も母をなじってしまったわ
あーイライラする
アダルトコンテンツが簡単に手に入ったかどうか。これは馬鹿にできない違いだと思う。
ネットがここまで普及するまでは、林の茂みを探索にいったり、隣町のエロ本が買える自販機まで深夜に自転車漕いでいったり、部活でだいだい受け継がられているAVを回してもらったり、と良質なアダルトコンテンツは容易に手に入らないものであったと思う。
そして満たされ得ぬ性への渇望が行動の原動力になっていたという面は否定できないと真面目に考えている。
尚、20代後半〜30代の世代は思春期の頃にはネットに触れてきているとは思うが、未だ黎明期だったこともあり、アダルトサイトのフィッシング詐欺やブラクラ、架空請求に悪戦苦闘しながら自身の性欲と戦ってきた世代と思われる。
一方、今の若者はネットさえあれば極端な話小学生でも良質なアダルトコンテンツに容易に触れることができる。
そういった環境で育ってきた世代とそれ以前の世代、そこには何か大きな差があるのでは無いかと真剣に思っている。
追記.
※男性向け注意
まず初めに書いておくと受動的でも彼女できるのはモテ期発動中のスーパーマンだけなので独り身で悩んでるやつは積極的にいかないと一生1人だから覚悟決めて動くこと。
出会い系サイトは昔からネットに触れているやつにとってフィッシング詐欺の代名詞みたいな感じだと思うが、今の時代は違う。スマートフォンの普及により出会い系アプリを普通に利用している女性・男性共に多い。サクラは確かにいるがそこまで多くないので引っかかったらドンマイぐらいの気持ちで適当にやればよし。アプリはPCMAXでいいと思うぞ
ちなみにオンラインというのを強調したのは、今の時代オフラインを利用した出会いはオワコン化してきてるからだ。大体の料金システムを見ればわかると思うが女性優遇をしまくらないとオフラインでのマッチング業は女が集まってない。母数が少なければいい女の数は減るし、もっと言えば出会える確率も減るわけだ。業界内部を暴露する形になるが街コンなんかは女性をリピーター化するために「食事だけでも…!」と連絡するって話。極論だが気合い入れて行った街コンで女性側は飯食いに来ただけなので男性に興味なし、なんてこともありえるかもしれん。
スマホの普及は良くも悪くもユーザーを多様にしたから、オンラインでの出会い系は追い風なんだわ。今の時代交際中のやつって少ないし、寂しいんだったらやってから恨み言たれろと思うね。
良くある失敗例として「彼女募集中」とか「結婚を前提に!」とか相手に対して重いアプローチをかけるやつ。絶対にしてはいけないので注意しような。出会い系サイトでは必ず「飲み友達募集中」とか「趣味の話ができる女友達がほしいです!」とかぐらいにしとけ。
これは女性サイド、特に男性側が付き合えたら良いなと思う若い女性なんだけど「何となく出会い系サイトに登録してみた」ぐらいの人が多いからなんだわ。別に彼氏が欲しいわけではないけど趣味があったりいい感じの人がいたら友達になれたらいいなーぐらいなの。なのに男性側のアプローチが「彼女!結婚!」だったら引くでしょ? 重いでしょ? よくネットでネタにされてる熟女勢が「結婚したいー!」って言ってるのを少し冷めた目で見ちゃうのと同じだよ。
だからプロフィールには自分の趣味と女友達が欲しいぐらいのことを書いて、あとは興味のある女の子に連絡しまくるだけ。ちなみに10回ぐらいのやり取りで会えなかったらサクラ認定して次行くように。
出会い系サイトにはオタク趣味を持つ女性も多いので「オタク趣味持ってるので趣味が合う方お話しましょう!」としたくなるのは分かるが、オープンにするのはやめとけ。
昨今オタク趣味を持つやつも人権を獲得してきているが、やっぱり奥底には「オタクは根暗で不清潔」という偏見があるもんだ。だからオタクをおおっぴらにしていると「地雷そうだから避けよう…」となる。しかし逆に「リア友には内緒だけどいわゆる隠れオタクってやつです汗」みたいに書いとけば、リア充だけどオタクみたいな雰囲気を醸し出せるから良いぞ。オタク趣味とは対極なものを同時に書くとなお良い「スポーツやってる」とか「クラブ行ってる」とかだな。やりやすいのはスポーツ系の趣味だな、オタクの彼女がほしいやつは運動やっとくと捗るぞ。
3,何とか出会えたら(準備編)
やり取りを経て出会うところまで来れたらひとまず合格、おめでとう。
会う前にかならず服装と髪や髭などを整えること。最初に書いとくべきだったが出会い系サイトに登録したらまず美容院行って気合い入れとけ。美容院の中で一番位の高い人、多分店長になるんだろうけどその人指名して髪切ってもらうように。どんなに変な頭の形でも異様な癖っ毛でもいい感じになるから出費にひるまず突撃しろ。服装に関しては色に気をつけて適当に。自信がないなら値は張るがアローズにでも行って「落ち着いた感じにコーディネートしてください!」って頼め。恥ずかしがるな、店員は一日に何人も見てるから一々顔は覚えないし、覚えても数日後には忘れるから気にするな。
3-1,何とか出会えたら(当日編)
装備と身だしなみは人生史上最高レベルだと思うので、後はコミュ力次第だ。
コミュ力と言っても話せばいいってもんじゃない、人間ってのは自分のことを理解してくれる人間に自分の悩みや考えを喋るのが一番楽しい。だから当日やるべきことは相手の理解者になること。
相手の理解者になってやるには、相手の職業の大変なところ。ここを抑えるのが一番効率的だ。学生にせよ、OLにせよ、看護婦にせよな。
おそらく会うまでのやり取りの中で職業ぐらいは聞いてるだろうから「○○ あるある」で調べて抑えとけ。したら当日あったときに「○○さんって職業△△だよね?☓☓が大変って聞いたことあるんだけど本当?」とでも切り出せば後はあっちからありったけ喋ってくれるから相手の感情に合わせて同調すればいい。「上司がムカつくー」だったら「それはムカつくな」と少し怒りの感情を出しながら言えばいいし、「ほんとうに今の仕事大変なんだよねー」と湿っぽい感じで言ってきたら「そっかー大変だねーよく頑張ってるよほんと」と湿っぽい感じで返せ。そんなやり取りを繰り返せば完全にではないだろうけど相手も心を許してくれるはずだ。
ちなむと最初からハードルの高いカラオケだったりボーリングだったりはやめとけ、まずはカフェで1時間ほど話しませんか? ぐらいで約束取り付けとけ。初対面の人間同士で友達とやるような遊びやったってはっちゃけられずつまんないこと請け合いだからな、おしゃべりぐらいが一番いい。楽しげな雰囲気ができたら一回映画にでも言って、終わったらまたカフェで感想でも話し合えばいいよ。まだ行けそうだったら居酒屋、時間が早いなら趣味の合う場所で適当に遊ぶか、ショッピングでぶらついとけ。
こんな感じで過ごせば夜頃には楽しげな雰囲気を持続させつつ居酒屋に転がり込めてるはずだ。
3-2,何とか出会えたら(お楽しみ編)
昼頃に会って夜居酒屋まで行けたら100点満点。自分を褒めよう。※未成年18,19には使えないのでその場合はカラオケに行きましょう。
ここまで着たら後ひと押しで行くところまでイケる。なるべく呑ませてハイにさせること(この時男側は酔い対策をしっかり行うべし、息子が死ぬので)したらいい感じの時間になったら「そろそろ切り上げよっか、でももう少しお話したいな。違うところ行こっか」と行って連れ出して「ねえ、ホテル行きたい、ダメかな?」とでも言えばいいよ。多分「どっちでもいいよ」とか曖昧な返事が返ってくるから「やった! じゃあホテル行く!」と凄い嬉しそうに言って連れていきましょう。その後は本能の赴くままご自由に。。(嬉しそうに言わないと女性側にリターンがないので断られるかもしれないので注意。やってあげてよかったと思わせよう)
※慣れていない女性の場合、流れでここまで来てしまったことに相当ビビッてらっしゃるので凄く優しくしてあげるべし。性欲に支配されていきなりシャワー浴びようとしたりするなよ? テレビでも見ながら2次会しつつ、流れをそっち方面へと言う感じが良いと思う。
ところで心配症の男性は「友達募集で女の子と会ってるけどココまで行けるの?」と思うかもしれないがイケる。というのも割りとセックスは友達の延長線上にもあるもんだからだ。友達から恋愛対象には昇格できないと言うがあれは嘘、友達は現時点で友だちと思ってるから友達で、恋愛対象は現時点で恋愛対象だから恋愛対象に過ぎない。行動次第で友達から恋愛対象に変われるし、逆もしかりなわけだ。誰が言ったか知らないが適当なこと言ったもんだと思うぜ俺は
ダラダラ書いたけどこんなもんだ。
出会った当日即合体とかありえねーと思うだろうが、ムリではない。コミュ力が高くないと無理だろうけどね。事前に情報を仕入れておくのが肝要です。
これに問題があるとすれば金だろうか。出会い系サイト利用料で俺の平均だが一人あたり1,000~2,000円、服と美容院台で数万、当日のデート代で数万。とまあびっくらこくほど飛ぶ。
なのでお金に心配のある人は必ず就職している人を選ぶこと、特に看護婦。
看護婦の方たちは魅力的な方も多いのに出会いがなく、くすぶっているのでいい男を演出できればお金のフォローはしてくれるはず。初心者は看護婦を狙っとけ。
最初にも書いたけど受動的で彼女できるのはモテ期ってやつ(要は奇跡だと言いたい)なので、ロマンスあふれる出会いを期待するのは諦めて積極的に活動しとけ。
女性にも言いたいのだけど積極性のある男は出会い系アプリに移動しているか、クラブで女を食い漁っているので適当にどっか所属していれば彼氏できるべみたいなのは微妙かもしれんぞ。まあ統計取ったわけじゃないから知らないけどさ。
※追記
別にこれ読んだ人が行動しようが行動しまいがどうでも良いんだけどさ、せっかく書いたからには真実だとは思ってほしいからフォロー入れとく
「宣伝業者だろ」→これはPCMAXの宣伝してるってことか?俺がPCMAX利用してたってだけで別にアプリならなんでも良いぞ。後業界拡大のための宣伝とか書いてる人はこんな費用対効果の検証ができない方法を取るわけないので広告について学んだ方がいい。
「看護婦はきつい性格がー」→反射的に揚げ足とるやつよりは良いぞ。というか人間の性格を業種ごとで型にはめようとするやつはろくでもないので改めろ
「ワリキリ&業者だらけ」→まあ否定はしない、やってるうちに多少は嗅覚が効くようになるので頑張れ。数万単位が一瞬でぶっ飛ぶわけじゃないから耐えるのだ。始めのうちは過剰資金から出すのが得策、後は無料ポイントで攻めるべし。
「常識的に考えてこれまで縁もゆかりもなかった人と突然あってどうにかするのはスーパーマンでない人には何もかも無理筋なのでは」→スーパーマンの敷居低すぎだろ常考。そんなこと言ってたら一生新しい人間関係できないじゃん。
「「出会い」って恋人作るためか、一夜限りの相手を探すためなのかどっちなんだろ?」→言いたいことは分かるよ。要はプラトニックラブが良いってことでしょ? 男からするとやっぱり関係持てるなら持ちたいしさ。女性の態度も関係を持った後と持つ前だと、やっぱ違うわけよ。人間の心理的に戻れないとこまで来たら、現状が幸せなんだと自己暗示かけるんだけどそういう部分もあるから出会いを求めるなら関係性を持ったほうが楽。プラトニックラブをしたいのは分かるけど、それってかなりハードル高いから相当小さい頃から仲良くしてる異性とかいないと多分ムリゲーだと思うぞ。
Webページのセキュリティパッチ一覧情報は更新されていないし、Adobe社ってつくづくルーズな会社だよな。。と感じる。メールアドレス漏えいさせたり、古めの製品のプロダクトキーを公開したり、めちゃくちゃね。個人用には別会社の軽快かつ高速なPDF閲覧ソフトを使っている。
http://www.adobe.com/jp/support/downloads/acrwin.html - ここのが古いまま
https://helpx.adobe.com/jp/acrobat/kb/cpsid_86653.html#Acrobat/Adobe%20Reader%20XI - ここのも古いまま
※以下は最新パッチ:フィッシング詐欺かどうか、自己責任で確認してね。
通常は、Reader や Acrobat それぞれの画面メニューから自動更新させるのが安全・確実。
ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/
ftp://ftp.adobe.com/pub/adobe/reader/mac/11.x/
ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/
ftp://ftp.adobe.com/pub/adobe/reader/mac/10.x/
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5954&fileID=5954
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5957&fileID=5957
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5955&fileID=5955
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5956&fileID=5956
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5958&fileID=5958
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5959&fileID=5959
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5962&fileID=5962
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5960&fileID=5960
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5961&fileID=5961
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=5963&fileID=5963
http://twinavi.jp/topics/it/5593e714-5b0c-4b21-99f5-3f94ac133a21
やめてほしいなあ、と思う理由は次の3点。
事故や犯罪によって預金が不正に払戻されたとする。あまり知られていないのだけれど、このとき、預金者に明らかな過失がなかった場合には、損失額は銀行が補填する(預金保障規程という。ペイオフとは別物)。
明らかな過失というのは「普通やらんだろ」っていう内容のもので、例えば
で、会計簿アプリのケースも、自己責任でパスワード預けていたとすれば「預金者の明らかな過失」にほぼ該当すると思われるので、銀行側が損失補てんをする必要はない。その点の心配はない。
ただし預金者から補てん請求があったときに、「預金者に明らかな過失があった」ことを証明する義務は銀行側にある。大規模なデータ漏れなどの際に不正払戻しの被害が生じたら、当行預金者の被害者の存在確認と損失額の把握、預金者が「アプリ側にパスワード預けてた」ことの立証を書類にしていく必要があるのだけれど、正直、そんな面倒な仕事をさせないでくれ、と思う。そういうときに限って「銀行がアプリにデータ提供していたからいけないんだ」とか言い出すクレーマーも絶対現れるし。
ここまで書いて気がついたけど、そもそも乱数表=取引パスワード≠ログインパスワードでしょ?データ閲覧のためだけなら乱数表データ不要なはずなのに、なんでそれ収集するのさ?
これだけフィッシングサイトに気をつけろって言っていても被害者は減らない。
アプリの画面に似せたフィッシングサイトが横行すれば(時間の問題だと思う)被害者は増加するだろう。上記とも関係するが、犯罪者に余計な知恵を付けさせないでくれ。
預金やクレジットカードの決済履歴は、その人の消費性向を如実に表す貴重なデータだ。
が透けて見える。銀行ではずいぶん前から、こういった過去のデータを分析してその人の消費性向にあった金融商品を高い精度で提案したい、という研究を進めている。銀行とすれば将来の商売の需要なネタが、他者に把握されるというのは極めて都合が悪い。やめてほしい。
~~~
もちろん預金者本人のデータを預金者がどう使おうと自由なわけだけれど、
こういう形でデータが外部に流れていくのは、所在なさというか心地悪さというか、気持ちの悪さを感じる。
そもそも、自分の中でも最もプライベートな情報をよく他所様のフォームにホイホイ入力しちゃうよなぁ、ってのが個人的な感想で。
身内ノリ、楽屋ノリにイライラするんだな。児童小説の中の探偵団、おぎやはぎのいうところの6組軍団、クラブでオイコールする大学生。勝手に盛り上がってるのを傍目で見てる分には平気なの。でもふとした瞬間に肩を叩き「よー、何つまんない顔してんの?楽しも〜ぜ〜」だってさ。ひーーー、ゾワゾワする!「あ、うん、ゴメン、大丈夫」「ち、つまんねーやつ、このノリがわかんないってカワイソーに」 いやいやいや、勝手にやってるのはいいよ、気にもならない。だから【虚構】ってつけてくれ。ください。
プレステのネタも踏んでしまった。コメント読むと(記事は読んでない)前回の記事の天丼なんでしょ? その身内ノリコメント群が気色悪ーーーーーー。と、思ったのでそこが生理的に受け付けないんだろうなーと思いました。
-----------------------
追記です。
“それ「虚構新聞が」に限定されなくないか?内輪っぽい記事全部駄目ってことだし。”
そんな事書いてないですよね? 内輪ネタはいくらやって頂いても気にならないですよ。むしろ仲良くっていいなって羨ましさ半分に思っています。あと、退職エントリかどうか位ならいくら私でもタイトルで判断できます。
“虚構にイライラする人たちは何故虚構を踏んじゃうのか”
そこなんですよね。一応気をつけているつもりなんですけど踏んじゃう時があるんです。情報リテラシーが低くてすみません。例えばくだんのタイトルは『「PS4じゃない」 父親殴った息子を逮捕』なんですけど、私情弱なもので、元になった事件もパロディーにした事も知らなかったのです。実際にあった事件の記事『息子に残虐ゲーム無理やり…強要罪で義父逮捕』とかと同じ感覚でクリックしてしまいました。皆さんよく区別つきますね。
そうして虚構新聞が表示された瞬間です。私がなるべく避けてきた蓮コラ同様の不快な(失礼)ページが表示された瞬間、そこで待っているのは上記致しましたジョークの同調圧力です。そこで「イラ」っとしてしまうのです。ブラクラ踏まされた挙句アクセス数稼ぎに加担させられた気持ち、クリック詐欺、フィッシング詐欺にあったのと同様の気持ち、大げさに言えばそんな不快感です。
肩を叩かれて振り向くと私の頬にぶっ刺さる人差し指。指を立てたまま仁王立ちする虚構新聞。ニヤニヤ笑うクラスメイト達。さっさと部活に行きたいんだけどこういう場合どうすりゃいいんだっけ?笑うの?怒るの?あれ、どうするんだっけ?と。
“この文章の方がよほどイラッとするわ”
お気持ちお察し致します。気持ちを察して頂けましたでしょうか?
虚構相手に何マジになってんの?ってやつだ。きーーーーーーーーっ!イラッとする〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
ブロガーが元記事を消すことなんてよくあることで、記事にコメントつけた人がコメントの著作権を主張して
削除反対を賛同される可能性の方が低い
削除権は最初に記事を書いた人が持っていないとスパム攻撃喰らったら記事自体が重くなり開けなくなる
増田でも時々あるじゃないですか ロングトラバリング攻撃 長いトラバリングくっつけて見づらくして嫌がらせするアレ
以前風呂具にフィッシング詐欺に関する注意喚起とどのあたりのルートを詐欺師が使っているのかという記事書いたら
その記事にだけセクハラスパム広告一気に他国経由でコメント欄に一件ごとにIPアドレス変えながら数百件大量投稿されて記事が滅茶苦茶重くなった
http://gigazine.net/index.php?/news/comments/20090527_rakuten_csv/
10円で販売というのは、システムを悪意に取っているが、特定業者にはCSV形式で個人情報がDLできるようになっていたことと
http://japan.cnet.com/news/sec/story/0,2000056024,20085874,00.htm
などがあるものの、基本的にmixi本体による騒動はなし。
パスワードも平文を送ってくるなどという事は無し
DeNA : http://www.security-next.com/004849.html
モバゲー事態はセキュリティというよりも、青少年育成の観点から問題視される
はてな:有名どころではDoCoMoなどもモバイルのURLをそのまま出したために
セッションハイジャックされた件などが記憶に新しい。
悪徳商法マニアクスが悪徳商法関連の記事を書いたところ、営業妨害としてはてながクレームをもらい
GREE:ウォッチしてないので、知らんw
いずれにしろ、mixi GREE DeNAなどは、いわゆる非技術者向けサービスのためにフィッシング詐欺が憂慮されるが、
あまり、フィッシング詐欺(マンインミドル含む)にたいして強固とは言えないのではないか?という疑惑はある。
Yahooや銀行はコレに対抗するためにセキュリティーシールなどを導入している。が、やはり、マンインミドルにたいして
安全かどうかは疑問。
つか、銀行でも、行員による使い込みなどは、たまに起きるし、セキュリティーってなに?って気はする。
あと、某大手、キャリーアが提携していた大型サービスがパスワード平文でおどろいた。
iTunesが不正請求問題に回答、するも消費者庁は再回答を要求
ttp://japanese.engadget.com/2010/03/08/itunes/
前回ざっくりとご紹介した質問事項に、回答をざっくりと合わせると:
消費者庁:iTunes Storeは請求トラブルの数や金額をどれだけ把握しているか。
消費者庁:トラブルの原因はなにと考えているか、原因不明なら今後どう究明するつもりか。
iTunes:クレジットカード詐欺、電子メールアカウントの漏洩、アカウント情報を誤って共有(フィッシング詐欺など)のどれかが原因。iTunesだけの問題じゃない。
iTunes:プライバシーポリシーや利用条件に書いてある。第三者の認定審査を受けており、個人情報保護については世界的に見て最高水準。昨年12月からはパスワード変更時にカード番号の再認証が必要になった。注意喚起は精査して行っている。まもなく不正検出の新システムも導入する。
消費者庁:請求トラブルが利用者から訴えられたとき、どう対処しているか。
iTunes:不正が見つかったときは利用者に知らせている。利用者は銀行やカード会社に連絡できるし、利用者から問い合わせがあれば銀行は不正が認識できる。また、不正発覚時はアカウントを無効にしている。メールで請求明細を受け取れるし、iTunesには購入履歴もある。カード会社からの返金にも応じている。
消費者庁:利用者はiTunes Storeにメールでしか質問できないが、回答にどれだけ時間がかかるのか。メール以外の窓口は作らないのか。
iTunes:95%の質問に48時間以内に、25%の質問は4時間以内に答えている。顧客満足度は最高水準。オンラインサービスなのでメールでのコミュニケーションが最も効果的で効率的。
原文→Official Google Blog: A new approach to China
執筆者:David Drummond(SVP,Corporate Development・Chief Legal Officer)
他の著名な組織同様,我々も日常的に様々なサイバー攻撃に直面しています。12月中旬,中国から我々のインフラを標的にした非常に洗練された攻撃を検知し,結果としてGoogleの知的財産を奪われました。当初,非常に高度とはいえ単なるセキュリティ上の問題に見えたのですが,すぐにまったく異なる事件だと明らかになりました。
第一に,攻撃はGoogleのみを標的にしたものではありませんでした。我々の調査によって,インターネット,ファイナンス,テクノロジー,メディア,化学などを含む幅広い分野の,少なくとも20の他の大企業が同様に標的にされたことが明らかになりました。我々は現在これらの企業に通知する作業の途中にあり,関連する合衆国当局とも作業をしています。
第二に,私たちの持つ証拠によれば,攻撃者の第一の目標は中国人人権活動家のGmailアカウントにアクセスすることでした。現時点までの我々の調査によって,私たちはこの攻撃の目標は達成されなかったと確信しています。2つのGmailアカウントにアクセスされたようですが,アクセスはアカウント情報(アカウント作成日など),及び件名に限られており,電子メールの内容そのものにはアクセスされていません。
第三に,この調査の中から,今回のGoogleへの攻撃とは別に,合衆国,中国,ヨーロッパ在住の,中国の人権支持者のGmailアカウントに対して第三者が定期的にアクセスしていたことを発見しました。これらのアカウントへのアクセスはGoogleの情報漏えいによるものではなく,おそらくはフィッシング詐欺や,ユーザのコンピューター上のマルウェアによるものだと思われます。
私たちはすでに得られた情報をもとに,Googleとユーザの使用するセキュリティ向上のために,インフラとアーキテクチャを改善しました。個人ユーザに対しては,評価の高いアンチウィルスソフトとアンチスパイウェアソフトを実行し,OSのパッチをインストールし,Webブラウザをアップデートすることを推奨します。インスタントメッセージや電子メール内のリンクをクリックする時,またオンライン上でパスワードなどの個人情報を提供するようにもとめられた時は,常に警戒するようにしてください。こちらで私たちのサイバーセキュリティに関する推奨情報を読むことができます。このような種類の攻撃についてさらに知りたい方は,合衆国政府のレポート(PDF),Nart Villeneuve氏のブログ,GhostNetスパイ事件についてのこちらのプレゼンテーションを読むことができます。
私たちがこの攻撃についての情報を,この異例な方法で多くのみなさんに公開することにしたのは,私たちが掘り出した問題がセキュリティと人権に与える影響のためばかりではなく,この情報がさらに大きな言論の自由についてのグローバルな議論の核心をついているからです。過去20年間,中国の経済再編計画と中国市民の起業家精神によって,何億もの中国の人々が貧困を脱することができました。間違いなくこの偉大な国家は,今日の世界のさらなる経済発展と進歩の中心です。
私たちは,情報や開かれたインターネットへのさらなるアクセスによる恩恵が,検索結果への検閲に合意することによる私たちの不安よりも重要だと考え,2006年1月にGoogle.cnをローンチしました。その際以下のように宣言しました。「私たちのサービスに対する制限や,新しい法律を含む中国国内の状況を注意深く監視します。もしここに示された目標が達成出来ないと確信した場合は,中国へのアプローチの再考も躊躇しません」
この攻撃と明らかになった監視—さらに昨年を通じてのWeb上の言論の自由をより制限しようとする計画も含めて—によって,私たちは中国における私たちの業務の実行可能性について再検討すべきだとの結論に達しました。今後Google.cnの検索結果に対する検閲を継続しないと決断し,これから数週間をかけて,法の範囲内でフィルターなしの検索エンジンの運営が可能かという点について中国政府と話しあいます。私たちはこの決断によってGoogle.cn,もしかすると中国オフィスも閉鎖しなくてはならなくなる可能性が十分にあることを理解しています。
中国における業務を再考するというこの決断は途方もなく困難でした。また,私たちはこの決断がさらに幅広い結果を生む可能性も理解しています。この方針は合衆国内の幹部たちによって指揮されたもので,Google.cnに今日の成功をもたらすために信じられないほど働いてくれた中国国内の社員たちによる情報や関わりはなかったと明確にしたいと思います。私たちはこの非常に難しい問題を解決するために責任をもって最大限の努力をします。
最近はてブでhotentryに、とあるWebサービスの脆弱性を発見したというブログエントリが上がってましたけど、提供元に通報することなく脆弱性の詳細を公表していることについて、誰も疑問に思わないんでしょうか?
エントリを見る限り
フィッシング詐欺などへの利用は十分に考えられる
と書かれており、筆者の方はこれが脆弱性であり危険であると認識されているようです。また、内容からして、Webサービス提供元が修正することが可能なものです。このような場合、「悪用されて被害が拡大するのを防ぐために、公開より先に提供元(あるいはIPAとか)に連絡し、提供元に修正の機会を与える」のが今日 "最善" とされている対応です(異論はあると思いますが)。
にも関わらず、エントリの末尾は
これがまたホットエントリー入りしたらきっと他の誰かが書いてくれる気がしますので(^ー^
と〆られており、エントリを公開することで被害が拡大する可能性についてはまったく考慮されていないようです。
エントリの途中に
(被害を受ける側)は自業自得という気もしますが
などと書かれているので、筆者の方は報告不要であると考えているのかもしれません。しかし、記事の内容を読む限り、被害者はまったくの第三者であり、使ってもいないサービスの仕様に合わせて対策しないと「自業自得」というのはあまりにひどい。
他に「この状態がすでに長く続いているんだし、いまさら公開しても実害はないよな」とか「気づく人はとっくに気づいてるよ」という考え方もありうると思いますが、「だから公開してもいい」というのはちょっと違いますよね。
……と、ここまで、筆者の方を責めるような言い方で書いてきましたが(筆者の方、ごめんなさい)、そもそも「脆弱性の報告」とか「IPA」とか知らない人が大多数でしょうし、気づいてびっくりしたネタをブログに書きたくなる気持ちもわかります。俺がとどめを刺されたのは、はてブしている人が誰一人「いきなり公開しない方がいいよ」とか「報告はしましたか」とか書いていなかったことです(俺がはてブを確認した時点での話。いまこれを書きながら確認したら、id:AmaiSaetaさんがアドバイスされてますね)。知らない人がいるのはしょうがないとして、誰も教えてあげないの?
こえぇ。気をつけとこう。
どうやって気をつけるんですか。同じようなことは今後他のサービスでも別の形で起き得ますよね。使っていないものも含めて世界中のメジャーなサービス全部について仕様を確認するとか?
ただし、(サービス名)を使用している場合に限る
違いますよね。本文ちゃんと読みましたか?
……あぁ。俺が神経質すぎるのでしょうか? 頭に血が上っているから、話を大きく考えすぎているのでしょうか? 本文をちゃんと読んでないのは俺の方で、落ち着いて読んだら「なぁんだ」で終われるのでしょうか?
という感じでなんだかもうよくわからなくなってしまったため、いきなり当該エントリのコメント欄等には書かずに、まずはこっちに書いてみました。ご意見を頂けると助かります。
サイバー犯罪(懐かしいな、確か毎日新聞もよく使ってたな)の定義にもよるんだが、
愛知県警はそんなにでかい事件やってたか?
その時は専門部署がなかったんではないかな。
まあ、警察の歴史の場合は「組織としてできた」ってことが大事だからな。
2008年5月 大阪府の大学サーバー侵入犯逮捕、同月、Share利用者3名逮捕
2008年1月 原田ウイルス作者逮捕、クラナド画像使ったウイルス作者逮捕
2006年5月 フィッシング詐欺で盗んだID使ったオークション詐欺団逮捕
2003年11月 Winny違法ファイル交換ユーザー2名を逮捕
EMC傘下のセキュリティ企業RSAは4月21日、「Rock Phish」と名乗る犯罪組織がフィッシング詐欺とトロイの木馬を併用した新たな攻撃を仕掛けていることが分かったと伝えた。
RSAによると、Rock Phishは欧州を拠点とする犯罪組織で、2004年以来、金融機関を狙ったフィッシング詐欺を仕掛けている。RSAの推定では世界各国で起きているフィッシング詐欺の50%以上はRock Phishが関与。ユーザーをだまして偽サイトで入力させたパスワードなどを使って、銀行口座から現金を盗み出している。
今回この組織が、新たに「Zeus」というトロイの木馬の亜種を使い始めたことが判明したという。スパムなどから偽サイトに誘導されたユーザーは、そこで銀行口座などの情報を入力しなかったとしても、知らないうちにマルウェアに感染させられる。
Zeusは感染したユーザーのコンピュータから個人情報などを収集し、外部に送信するトロイの木馬。これまでに150種類以上の亜種が出回っている。
しかも今回のケースでは、Googleを思わせるURLを使ってマルウェアがホスティングされているため、セキュリティソフトも通過してしまう可能性があるとRSAは伝えている。
