未承諾メールとフィッシングへの怒り 2005-03-10T17:34:00Z 未承諾メールとフィッシングへの怒り tag:www.1banhope.com,2006:/1/con//9 Movable Type Copyright (c) 2005, ymlojpjp プロバイダおよびサーバ契約が狙われたら大変だ 2005-02-10T15:03:48Z 2005-02-10T14:56:51Z tag:www.1banhope.com,2005:/1/con//9.1584 2005-02-10T14:56:51Z アメリカではオークションからショッピングまでネットではクレジットカードをバンバン... ymlojpjp アメリカではオークションからショッピングまでネットではクレジットカードをバンバンに使っています。
ところがです。
日本ではオークションは銀行振込、ネットショップなどは着払いが多いので心配をしないという方も多いと思います。

ところがです。

日本ではプロバイダやサーバの契約は比較的クレジットカードを利用している人が多いことが気になります。

サーバなどはドメイン管理料やレンタル料金は更新時にメールが来て銀行振込かクレジットカード決済というのが多いと思います。

つまり、最近の顧客リストの流出やハッキングによるリストの流出になったら確実に間違う人が出てきます。

こうなるとクレジットカードの番号を入れた時点で犯人は使い放題です。

アメリカでは金融機関系やオークションなどのようなものが狙われていますが、もし日本人で真似て行動できる人や協力する人が出たら大変だと思います。

残念ながら外国のサーバなどを経由すると条約などの関係から難しいのです。

だから、2005年現在まで犯人は一人も捕まっていないのです。

]]> 独自ドメインも信用できないが無料サーバも信用できない 2005-02-10T15:19:25Z 2005-02-10T15:04:18Z tag:www.1banhope.com,2005:/1/con//9.1585 2005-02-10T15:04:18Z よくショップや士業の自社HPを無料サーバに設置している人がいます。 独自ドメイン... ymlojpjp よくショップや士業の自社HPを無料サーバに設置している人がいます。

独自ドメインならある程度の情報は個人でもつかむことができるし、契約しているサーバ会社が日本国内の会社なら警察も特定できる可能性がありますが無料サーバの場合は難しいことはよく分かると思います。

特に海外の無料サーバはテロ予告に使われるくらいですからほとんど無理でしょう。

独自ドメインだからと言って信用できるとは言えないですが身分を隠して取得してもなんらかの形でどこから取得したかということで特定できる可能性があります。

ただ、プロは無理でしょうが・・・。

つまり、模倣犯必ずこの手の詐欺は出てくるので無料サーバは信用性が今後落ちるのかなと思ってみたりします。

ただ、無料サーバで商売をやっていること自体が問題だと個人的には思いますがネット関連の学者の間では今後10年以内に破壊的な何かでネットが一時破綻するとも言われていますからドメイン情報などもチェックしないといけない時代が来ているのかもしれません。

ドメイン情報は閲覧するには

このサイトにドメインを入れれば所有者が分かります。

ただ、ドメインを管理している会社名が出てくる場合があります。
その会社が日本なら捜査当局も調査が可能ですが管理がUSAなどになると正直お手上げでしょうね。

]]> トロイの木馬ってご存知ですか?? 2005-02-10T15:29:09Z 2005-02-10T15:19:44Z tag:www.1banhope.com,2005:/1/con//9.1586 2005-02-10T15:19:44Z 映画「トロイ」というブラッド・ピットが出演した映画ありましたがトロイの木馬は難攻... ymlojpjp 映画「トロイ」というブラッド・ピットが出演した映画ありましたがトロイの木馬は難攻不落と言われた城を落とすためのものでした。

ここから来たのがスパイウェア「トロイの木馬」です。

これが何がすごいかというと感染したことが通常のウイルスソフトでは感知されないのですがこの怖さを知らない人が多いと思います。

個人ならある程度のレベルのお金しか使えないですが問題はオンラインショップです。

ショップは日々数十万円と動かしているでしょう。

それをすべて第三者が閲覧できるのがこのスパイなのです。

例えばクレジットカードの番号やパスワードなどさまざまです。
ネットショップがこれを怠っていると大変なことになります。

今回のテーマの未承諾メールとフィッシングとにつながってくるのです。

未承諾メールからトロイの木馬が感染して何らかの形で顧客リストを閲覧されるような管理をしているとその顧客がクレジットカードで決済しているような人なら「番号が間違っていまいた。再度入力してください。」とメールが来たら入力する人がいることが考えられます。
特に大きなネットショップは万全だと思いますがサイト自体がそれほどセキュリティに力を入れているような気配がないサイトもあります。

当然、ネットショップですからメールも公開しているわけですからスパムメールだと分からないようなタイトルだと開いてしまいます。
するとアッという間に感染してしまうわけです。

ここまで細かくやられたら被害が出ると思いますがそれ以上にショップの信頼性が揺らぎますからセキュリティのプロが繁盛する時代になる可能性があります。

]]> SOHOならパソコン2台は当たり前?! 2005-02-10T15:35:50Z 2005-02-10T15:29:28Z tag:www.1banhope.com,2005:/1/con//9.1587 2005-02-10T15:29:28Z 私はノート一台とデスクトップ一台を所有しています。 このようなサイトの更新はデス... ymlojpjp 私はノート一台とデスクトップ一台を所有しています。

このようなサイトの更新はデスクトップでしています。
しかし、メールの受信はノートで行っています。

デスクトップはオンラインでネットを閲覧することとサイトの更新に使っています。

感染する可能性が多いといわれているメール受信はほとんどオフラインでしか使わないノートに任せています。

どちらもウイルスソフトは導入していますがネットから感染したのかそれともメールから感染したのかが分からないので分けています。

SOHOなどのような仕事の場合は基本的に分けることが重要だとは思いませんがどちらかがウイルスに感染してもどちらかが生きていればなんとかなると思うのですが一台だと対応不能になるのでこのような形にしています。

このようなことを考えるととても重要なポイントだと思います。

一時期ウインドウズの欠陥でネットからウイルスが感染するということがありましたがとにかくシステムやネットに弱い人はこれくらいはしないとほとんどパニック状態になります。

そこから考えて個人で遊び程度ならいいですがやはり今後はデータのバックアップも含めて対応を検討しておく時期に来ていると言えます。

]]> 未承諾メールを装ったスパイウェア攻撃 2005-02-11T04:47:54Z 2005-02-11T04:38:45Z tag:www.1banhope.com,2005:/1/con//9.1588 2005-02-11T04:38:45Z 海外ではスパムメールは商用・非商用を問わずとにかく禁止になろうとしています。 発... ymlojpjp 海外ではスパムメールは商用・非商用を問わずとにかく禁止になろうとしています。
発送元を特定していくようにするしかないのですが問題は簡単ではありません。

フリーメールなどになると正直運用している会社もいたちごっこになってしまうからです。
ですからフリーメールの見覚えがないようなメールは開かずにそのまま削除するほうが無難です。

ただ、スパイウェアが潜んでいるメールを開いてしまうことがあるのは誰でも分かりますが問題は日本の場合性善説で解釈しています。


つまり、この未承諾メールを装ったメールに例えばスパイウェアを添付して発送していたらどうするのでしょうか??

法律はそこまで想定していないような気がします。

メールは合法でもやっていることは明らかに違法です。

ある程度の知識がある人ならいいですが普通の人はそこまで詳しく考えてネットをやっていません。

トロイの木馬を大量にばら撒く人が出てきてそれを見て特にPCには変化がなくてもデータを盗むことができます。

未承諾というタイトルを別フォルダに入れるようにしてもそれを書かないメールは後を絶ちません。

大手企業などを対策を講じているでしょうがそれでも安心できないですよね。
日本の金融機関はその辺の対策が非常に遅れているといわれています。

実際にキャッシュカードから別人が引き出しても銀行は何も損害がないわけですから銀行への攻撃がハッカーにより本格的にフィッシングと重なったら正直お手上げなのではないでしょうか?

すでにアメリカではシティやUSバンクを名乗ってフィッシングがされている現状を考えると日本の銀行はもうちょっとしっかりと消費者側に立って考えて欲しいですよね。

]]> 私が取ったイーベイフィッシングへの対策 2005-02-11T05:00:38Z 2005-02-11T04:48:12Z tag:www.1banhope.com,2005:/1/con//9.1589 2005-02-11T04:48:12Z イーベイでフィッシングが本格化してきた時に対策が必要だと思ったのでクレジットカー... ymlojpjp イーベイでフィッシングが本格化してきた時に対策が必要だと思ったのでクレジットカードとメールアドレスをイーベイ専用でID別に分けました。

当たり前だと思っている方もいると思いますが対象となることがIDが私は3つありました。

買い専門が1つで売りが2つです。

ペイパルというサービスを通じて決済するのですが買いのIDのメールアドレスは猛烈なスパムメールの攻撃にさらされます。

日に100通程度の英語メールが来るようになります。
ですからすぐに移して対応しておかないと何がなんだか分からない状況になります。

そこで考えられるのがID別にメールアドレスとクレジットカードを分けることです。
特にたくさんの商品を落札・購入していると滅茶苦茶に管理がなるので別に管理していくといいと思います。

日本のヤフーオークションではそのような被害はあまりないですがとくかくイーベイはすごいです。

その中にトロイの木馬やフィッシングメールが来るのですから対応不能です。

明細などからも自分が何を買ったかということを考えるとこのような予防線は必要です。

アメリカなどのような海外のスパムは日本のスパムの比ではありません。
ハッカーが集団で銀行の預金を数十億円動かしたとか色々と聞きます。

そういう意味では日本のハッカーはまだ良識(?)があるのかもしれませんがその海外のハッカーや詐欺集団にターゲットにされたらとても個人では対応できないのですからイーベイや個人輸入はクレジットカードの決済がほとんどですからしっかりと考えて対策を講じる必要があります。

例えばオークション専用の口座やクレジットカードという感じ分けるべきです。
理由は被害に遭った時点でクレジットカードは解約しないといけないのですが他の会社への引き落としも同一のクレジットで行っていると全部変更する手間がかかるのでその辺はしっかりと区別したほうがいいのです。

]]> ネットおちおち寄付もできない 2005-02-11T05:12:41Z 2005-02-11T05:01:50Z tag:www.1banhope.com,2005:/1/con//9.1590 2005-02-11T05:01:50Z スマトラ大地震などの慈善団体などが寄付を募っていますよね。 アメリカではこの慈善... ymlojpjp スマトラ大地震などの慈善団体などが寄付を募っていますよね。

アメリカではこの慈善団体のロゴなどを真似てフィッシングを行ったケースが報告されています。

しかし、よく考えてみると日本でもサイトに寄付をしようというタグがあります。

確かに100円程度なら誰でも寄付したいと思ったりします。
しかし、この方法はすごい波及効果があるのです。

慈善事業は営利でない分他の人に抵抗なくたくさんの人から寄付を募ることができます。

そこへ有名な団体のロゴを入れて使われると誤認して寄付してしまうことがあるのではないでしょうか。
しかも、クレジットカードで寄付した場合は銀行などのようなお金を引き出すということが不要です。
クレジットカードなどの番号を使って勝手に物を買えばいいわけですからこれ以上の高い買い物はありません。

アメリカの有名なFBIでも全く犯人が現在捕まえていない現実から日本の捜査当局では不可能に近いのかもしれません。

犯罪者を引き渡す条約が締結されていない国にサーバがあったりすると捜査協力という要請になりますがこれがまた当てにならないのです。

時間がかかるのですからこれは自分の寄付が全く違った人に私利私欲のために使われることも考えられます。

個人情報はとても重要なデータですがそれ以前善意を利用されたらもうお手上げです。

]]> フィッシングサイトとメールの相関関係 2005-02-11T05:24:18Z 2005-02-11T05:13:07Z tag:www.1banhope.com,2005:/1/con//9.1591 2005-02-11T05:13:07Z フィッシングメールは実に9000種類を超える数があるとか。 そこでフィッシングサ... ymlojpjp フィッシングメールは実に9000種類を超える数があるとか。

そこでフィッシングサイトがあるの国はアメリカが多くて次に中国、韓国そして日本だそうです。

ダントツでアメリカが多いわけですが最近の無料サーバと格安サーバの多さは半端ではありません。
特にアメリカの無料サーバの数はよく分かりませんが多いのは事実です。

そして、中国などは条約の関係からサーバへの捜査がアメリカでも難しい部分があります。

他にはロシアなんかも難しそうですね。

ネットが普及してある程度価格競争が起こっている地域ばかりが狙われています。
つまり、利便性を重視していることから簡単にサーバを借りれる地域と言ってもいいかもしれません。

それともう一つはネット人口とネットでの取引額がこの4カ国でかなりのウェートを占めます。
アメリカと日本だけでもかなりの物です。
アメリカは同時に英語圏ということで括ればイギリス、カナダ、オーストラリアなどのアングロサクソン系とシンガポールのような英語を軸に国際化を図っている国と考えれば人口から考えて中国と韓国、日本をおさえればほとんどの世界中の金持ちをゲットしたも同然と考えてもいいと思います。

日本語は難しいのでなかなか攻めにくかったのでしょうが今後は確実に日本語を知っている人を雇ってやってくると思います。

]]> スパムより高いフィッシングのレスポンス 2005-02-11T05:40:53Z 2005-02-11T05:32:22Z tag:www.1banhope.com,2005:/1/con//9.1592 2005-02-11T05:32:22Z 通常、マーケティングではダイレクトレスポンスマーケティングというものがあります。... ymlojpjp 通常、マーケティングではダイレクトレスポンスマーケティングというものがあります。

通行の広告への反応率ですが1%もなくなって来ているのが現実ではないでしょうか。

そこで反フィッシングのアメリカのワーキンググループによるとスパムはレスポンスが1%なのに大してフィッシングは5%というレスポンス率だと言います。

これは簡単に詐欺集団から言えば収益が大きいということになります。

同じ通数のメールを出すならスパムのようなものではなく金融機関などに成りすましてメールを送ってクレジット番号などを盗む方が儲けが大きいということになります。

オレオレ詐欺というものがあります。

あれも成りすましてそれで電話をかけてお金を引き出すというものです。

この詐欺の特徴は子供や孫に成りすますということで信用を得ていますがフィッシングは大企業のブランド力を背景に疑惑をもたれないようにしているわけです。

ロゴなどはよく見ると違うのですがそれでも会社のブランドはとても半端ではない力があることを逆手に取っていることがはっきりと分かります。


確かに自分が利用しているプロバイダなどからのメールは信用して読んでいます。

特に日本ではHTMLメールではなくテキストメールがまだ主流ですから被害が拡大する可能性も否定できないと思います。

大量のメールに5%の人が何らかの反応をしめしてしまうこの詐欺は犯人を逮捕しない限り被害者はなかなかいなくならないのかもしれません。

]]> フィッシングメールらしきものをすぐ通報する 2005-02-11T06:04:16Z 2005-02-11T05:49:12Z tag:www.1banhope.com,2005:/1/con//9.1593 2005-02-11T05:49:12Z フィッシングメールに対して警察が対応を即時行ったのは日本という国から考えると驚き... ymlojpjp フィッシングメールに対して警察が対応を即時行ったのは日本という国から考えると驚きという感じでしょうが本来は当たり前です。

警察のHPはここですから不審なメールを見たら即時報告してください。

ここです

ただ、アダルト系などはもともとフィッシングまがいのことが前からされていたのですが果たしてどこまで効果があるのかどうかという感じです。

というのも例えば裏映像なるアダルトをドルでクレジットカード決済するサイトがあります。
当然、映像自体は「日本では」違法です。

外国では合法な映像です。

しかし、そのようなサイトはほとんどがクレジットカード決済です。
そのサイトがフィッシングかそうでないかというのは正直アダルトのサイトは多すぎて誰も分からないのはお分かりだと思います。

ここからが重要ですがこの裏映像を見せることをしているがカード番号を違法に使われてしまった場合は警察はどう対応するのでしょうか??

当然、裏映像を鑑賞した人は警察に通報しにくことは想像できます。

警察の立場上それに関してコメントは難しいでしょう。


そうなるとこの手のサイトに対してどの程度の信頼性がおけるかということより、根本的に悪用してくる人が増えるのではないかと思います。

裏映像なんていくらでもオークションで転がっているわけですからストリーミングの技術的素地があればできます。

後はクレジットカード番号を悪用ということをするコンピュータ技術者が出てくるのではないかと思います。
もちろん、いつかはばれると思いますが問題はフィッシングの手口はまだ誰も逮捕者が出ていないという点です。

つまり、アメリカからパソコン片手に中国のサーバで日本向けのサイトを作ってフィッシングされたらお手上げなのではないかと思います。

だから、アダルトについては警察は対応をさまられるのではないかと思ったりします。

いいとか悪いとかの問題ではなくそのような状況が身の回りにたくさんあると思えばスケベ心を控えておいたほうが無難です。

]]> アメリカでのフィッシング対策として掲載されている例 2005-02-11T06:22:31Z 2005-02-11T06:06:01Z tag:www.1banhope.com,2005:/1/con//9.1594 2005-02-11T06:06:01Z フィッシングは今もっと不謹慎ですがホットな話題になっています。 2003年にFB... ymlojpjp フィッシングは今もっと不謹慎ですがホットな話題になっています。

2003年にFBIの報道官が言及したこともあいまって日本人の私でもそんなものがあるのかということを知りました。

そこでその当時にフィッシングを回避するための方法が掲載されていたので
そのまま掲載しますね。

■ スパムメールへの返信やURLへのクリックをしない

■ 自分の情報を入力する場合はURLを知っている場合は
  そこでもう一度打ち直したり会社に問い合わせてみる

■ 自分が気づかずにフィッシングにかかったらすぐにクレジット会社などに
  連絡する

■ ウインドウズの更新を常に行っておく

というものです。
別にたいしたことが書いてあるわけではありません。

逆にだから対応策は自分しだいということです。

それと最後に匿名のファイルで出所が分からないものをダウンロードしてその中にスパイウェアが含まれていることがあります。
ですから無料だからという理由でなんでもダウンロードするのはかなり危険な行為です。

   

]]> URLの偽装の手口 2005-02-11T06:35:00Z 2005-02-11T06:25:16Z tag:www.1banhope.com,2005:/1/con//9.1595 2005-02-11T06:25:16Z 詳しくはこの解説が一番分かりやすかったのでこのサイトを見ると分かります。 URL... ymlojpjp 詳しくはこの解説が一番分かりやすかったのでこのサイトを見ると分かります。

URL偽装の手口

とにかく色々とあります。

特にウインドウズは最近よく穴を狙われています。

すげにウインドウズは限界に来ているのかもしれませんがいたちごっこです。
マイクロソフトの技術者も相当の能力を有していると思いますがそれ以上にハッカーはちょっとした隙間を狙ってくるのですからウインドウズが完全になることは当然ないわけですから個人で気をつけるしか方法がないのかもしれません。

しかし、どう考えてこのセキュリティの分野は個人ではお金を払って勉強しようということが少ないことと本などは対応できないほどドンドンと問題が浮上しています。

フィッシングはたいしたことを行っていないのですが個人へのチェックが甘いサーバなどを探して行動しているサイトがほとんどです。

では、完全に身元を確認する必要があるのかということですがこれもまた問題です。

そんなことをしていたら運用している会社は相当のコストがかかるので無料ではなかなか運用ができないことになります。

WINNYのようなファイル交換ソフトがなくならないのと一緒で対象が多すぎるのです。

URLの偽装などもそうですが今後とは個人情報を簡単に入力するようなサイトは避けるべきです。

フィッシングは何を目的にしているかによりますが偽札事件でも明らかなように素人でもいまやプロ並にできる機材が多くあるのですから素人だとかプロだとか関係ない時代にいるのです。

]]> ウェブデザインが信用できない 2005-02-11T07:08:47Z 2005-02-11T06:59:40Z tag:www.1banhope.com,2005:/1/con//9.1596 2005-02-11T06:59:40Z HTMLメールは英語圏になると多いです。 日本ではHTMLメールのメールマガジン... ymlojpjp HTMLメールは英語圏になると多いです。

日本ではHTMLメールのメールマガジンが少ないということもあり一般的には企業メールのイメージが強い感じがします。

よく考えるとどのサイトもデザインに年間数百万円以上かけているサイトが大企業のサイトです。

ところがどうしてか分かりませんがマネされるのです。
これはクレジットカードを入力する画面は比較的簡素なものが多いことあると思いますがそれ以上に日本では個人情報を平気で求めてくる会社が多いです。

だって、無料レポートメールを受け取ったりするのに何で名前が必要なのかという疑問があります。
もちろん適当に入力はしますがサイトで相手にコンタクトをする時に商品購入でもないのに以上に入力項目が多いものがあります。

海外ではメールアドレスと後はハンドルネーム程度が基本で年齢や性別名などを聞いているサイトは最近少ないです。

このような個人情報に対して積極的に守ろうとしているアメリカ人がフィッシングにかかるのはちょっと不思議な気もしますが当然ながら日本人は詐欺遭いやすい資質を持っているような気がします。

昔、イーベイで詐欺というかすごいことをやっている人がいました。
とんでもない出品者なのですが日本では考えられないことを平気で堂々とやっています。

結果、イーベイのセキュリティはかなり高いものですがそれでも外人は日本人をなめているなと思うことがしばしばです。

そう考えると似たデザインのサイトを見ただけで日本人って信用しちゃんじゃないかなと思います。

もちろん、そんな私でもかかるかもしれませんが・・・・。

]]> ブログから誘導にご注意 2005-04-19T01:14:54Z 2005-02-26T09:24:35Z tag:www.1banhope.com,2005:/1/con//9.1953 2005-02-26T09:24:35Z ブログは現在グーグルを含めて検索エンジン側もできるだけ上位にすぐ表示されることを... ymlojpjp ブログは現在グーグルを含めて検索エンジン側もできるだけ上位にすぐ表示されることを抑制するように動いていますが・・しかしです。

ちょっと考えていただきたいのですがページランクつまりリンクを集めなくてもある程度上位にきます。

そこから誘導して自分のフィッシングサイトや詐欺サイトへと移動させることができます。

実はこれをやっているアダルトサイトがあります。


アダルトサイトは例えば裏映像をストリーミング技術を使ってアメリカなどから配信していますが大体クレジットカード決済です。

つまり、フィッシングが可能です。

ブログはアフィリエイトなどに応用されていますがハッキリ言えばそれは同時に詐欺に使用できると言えます。
しっかりとサイトを確認しましょう。

それとURLを企業の場合は確認するとかヤフーやグーグルで検索しなおすなどしてください。

大手企業なら普通一番掲載されていますし、ディレクトリ型のヤフーなら間違いなく正式なサイトを登録されています。

さすがに裏映像のサイトは登録されていませんがその辺の怪しいサイトは自己責任です。

]]> MSNが提示するフィッシングの恐怖 2005-03-10T17:34:00Z 2005-03-10T17:27:35Z tag:www.1banhope.com,2005:/1/con//9.2138 2005-03-10T17:27:35Z MSNがチャットを止めました。 この理由の一つに ユーザさんが正体不明のURLを... ymlojpjp MSNがチャットを止めました。

この理由の一つに

ユーザさんが正体不明のURLをログとして画面に打つなど、フィッシング的な脅威を感じた面もある

という理由を掲げています。

運用する側の会社にドンドンとセキュリティを求める声が高まるなかコストが増大した。

そのために対策を講じてきましたが新たにこのようなフィッシングなどの巧妙な被害も予測されたためと思われます。

フィッシングで被害が生じた場合、アメリカなどなら確実に運用しているマイクロソフト側に賠償を請求してくるケースも出てきます。

そのためチャットやメッセンジャーはある意味危険性をはらんでいると言われています。

このような部分を考えるととても運営者がコストから考えてとてもできないと判断するのもやむを得ないことです。


フィッシング詐欺が起こるような素地が他のメディア、例えばメッセンジャーや掲示板になるとなると大きな掲示板などは大きな対策を講じなければならないということになるのかもしれません。

しかし、事実上解決は不可能で警察などにアクセスログを提供することぐらいになるのでしょう。

]]>