未承諾メールとフィッシングへの怒り

プロバイダおよびサーバ契約が狙われたら大変だ

ymlojpjp — 2005-02-10T23:56:51+09:00

アメリカではオークションからショッピングまでネットではクレジットカードをバンバンに使っています。
ところがです。
日本ではオークションは銀行振込、ネットショップなどは着払いが多いので心配をしないという方も多いと思います。

ところがです。

日本ではプロバイダやサーバの契約は比較的クレジットカードを利用している人が多いことが気になります。

サーバなどはドメイン管理料やレンタル料金は更新時にメールが来て銀行振込かクレジットカード決済というのが多いと思います。

つまり、最近の顧客リストの流出やハッキングによるリストの流出になったら確実に間違う人が出てきます。

こうなるとクレジットカードの番号を入れた時点で犯人は使い放題です。

アメリカでは金融機関系やオークションなどのようなものが狙われていますが、もし日本人で真似て行動できる人や協力する人が出たら大変だと思います。

残念ながら外国のサーバなどを経由すると条約などの関係から難しいのです。

だから、２００５年現在まで犯人は一人も捕まっていないのです。

独自ドメインも信用できないが無料サーバも信用できない

ymlojpjp — 2005-02-11T00:04:18+09:00

よくショップや士業の自社ＨＰを無料サーバに設置している人がいます。

独自ドメインならある程度の情報は個人でもつかむことができるし、契約しているサーバ会社が日本国内の会社なら警察も特定できる可能性がありますが無料サーバの場合は難しいことはよく分かると思います。

特に海外の無料サーバはテロ予告に使われるくらいですからほとんど無理でしょう。

独自ドメインだからと言って信用できるとは言えないですが身分を隠して取得してもなんらかの形でどこから取得したかということで特定できる可能性があります。

ただ、プロは無理でしょうが・・・。

つまり、模倣犯必ずこの手の詐欺は出てくるので無料サーバは信用性が今後落ちるのかなと思ってみたりします。

ただ、無料サーバで商売をやっていること自体が問題だと個人的には思いますがネット関連の学者の間では今後１０年以内に破壊的な何かでネットが一時破綻するとも言われていますからドメイン情報などもチェックしないといけない時代が来ているのかもしれません。

ドメイン情報は閲覧するには

このサイトにドメインを入れれば所有者が分かります。

ただ、ドメインを管理している会社名が出てくる場合があります。
その会社が日本なら捜査当局も調査が可能ですが管理がＵＳＡなどになると正直お手上げでしょうね。

トロイの木馬ってご存知ですか？？

ymlojpjp — 2005-02-11T00:19:44+09:00

映画「トロイ」というブラッド・ピットが出演した映画ありましたがトロイの木馬は難攻不落と言われた城を落とすためのものでした。

ここから来たのがスパイウェア「トロイの木馬」です。

これが何がすごいかというと感染したことが通常のウイルスソフトでは感知されないのですがこの怖さを知らない人が多いと思います。

個人ならある程度のレベルのお金しか使えないですが問題はオンラインショップです。

ショップは日々数十万円と動かしているでしょう。

それをすべて第三者が閲覧できるのがこのスパイなのです。

例えばクレジットカードの番号やパスワードなどさまざまです。
ネットショップがこれを怠っていると大変なことになります。

今回のテーマの未承諾メールとフィッシングとにつながってくるのです。

未承諾メールからトロイの木馬が感染して何らかの形で顧客リストを閲覧されるような管理をしているとその顧客がクレジットカードで決済しているような人なら「番号が間違っていまいた。再度入力してください。」とメールが来たら入力する人がいることが考えられます。
特に大きなネットショップは万全だと思いますがサイト自体がそれほどセキュリティに力を入れているような気配がないサイトもあります。

当然、ネットショップですからメールも公開しているわけですからスパムメールだと分からないようなタイトルだと開いてしまいます。
するとアッという間に感染してしまうわけです。

ここまで細かくやられたら被害が出ると思いますがそれ以上にショップの信頼性が揺らぎますからセキュリティのプロが繁盛する時代になる可能性があります。

SOHOならパソコン２台は当たり前？！

ymlojpjp — 2005-02-11T00:29:28+09:00

私はノート一台とデスクトップ一台を所有しています。

このようなサイトの更新はデスクトップでしています。
しかし、メールの受信はノートで行っています。

デスクトップはオンラインでネットを閲覧することとサイトの更新に使っています。

感染する可能性が多いといわれているメール受信はほとんどオフラインでしか使わないノートに任せています。

どちらもウイルスソフトは導入していますがネットから感染したのかそれともメールから感染したのかが分からないので分けています。

ＳＯＨＯなどのような仕事の場合は基本的に分けることが重要だとは思いませんがどちらかがウイルスに感染してもどちらかが生きていればなんとかなると思うのですが一台だと対応不能になるのでこのような形にしています。

このようなことを考えるととても重要なポイントだと思います。

一時期ウインドウズの欠陥でネットからウイルスが感染するということがありましたがとにかくシステムやネットに弱い人はこれくらいはしないとほとんどパニック状態になります。

そこから考えて個人で遊び程度ならいいですがやはり今後はデータのバックアップも含めて対応を検討しておく時期に来ていると言えます。

未承諾メールを装ったスパイウェア攻撃

ymlojpjp — 2005-02-11T13:38:45+09:00

海外ではスパムメールは商用・非商用を問わずとにかく禁止になろうとしています。
発送元を特定していくようにするしかないのですが問題は簡単ではありません。

フリーメールなどになると正直運用している会社もいたちごっこになってしまうからです。
ですからフリーメールの見覚えがないようなメールは開かずにそのまま削除するほうが無難です。

ただ、スパイウェアが潜んでいるメールを開いてしまうことがあるのは誰でも分かりますが問題は日本の場合性善説で解釈しています。

つまり、この未承諾メールを装ったメールに例えばスパイウェアを添付して発送していたらどうするのでしょうか？？

法律はそこまで想定していないような気がします。

メールは合法でもやっていることは明らかに違法です。

ある程度の知識がある人ならいいですが普通の人はそこまで詳しく考えてネットをやっていません。

トロイの木馬を大量にばら撒く人が出てきてそれを見て特にＰＣには変化がなくてもデータを盗むことができます。

未承諾というタイトルを別フォルダに入れるようにしてもそれを書かないメールは後を絶ちません。

大手企業などを対策を講じているでしょうがそれでも安心できないですよね。
日本の金融機関はその辺の対策が非常に遅れているといわれています。

実際にキャッシュカードから別人が引き出しても銀行は何も損害がないわけですから銀行への攻撃がハッカーにより本格的にフィッシングと重なったら正直お手上げなのではないでしょうか？

すでにアメリカではシティやＵＳバンクを名乗ってフィッシングがされている現状を考えると日本の銀行はもうちょっとしっかりと消費者側に立って考えて欲しいですよね。

私が取ったイーベイフィッシングへの対策

ymlojpjp — 2005-02-11T13:48:12+09:00

イーベイでフィッシングが本格化してきた時に対策が必要だと思ったのでクレジットカードとメールアドレスをイーベイ専用でＩＤ別に分けました。

当たり前だと思っている方もいると思いますが対象となることがＩＤが私は３つありました。

買い専門が１つで売りが２つです。

ペイパルというサービスを通じて決済するのですが買いのＩＤのメールアドレスは猛烈なスパムメールの攻撃にさらされます。

日に１００通程度の英語メールが来るようになります。
ですからすぐに移して対応しておかないと何がなんだか分からない状況になります。

そこで考えられるのがＩＤ別にメールアドレスとクレジットカードを分けることです。
特にたくさんの商品を落札・購入していると滅茶苦茶に管理がなるので別に管理していくといいと思います。

日本のヤフーオークションではそのような被害はあまりないですがとくかくイーベイはすごいです。

その中にトロイの木馬やフィッシングメールが来るのですから対応不能です。

明細などからも自分が何を買ったかということを考えるとこのような予防線は必要です。

アメリカなどのような海外のスパムは日本のスパムの比ではありません。
ハッカーが集団で銀行の預金を数十億円動かしたとか色々と聞きます。

そういう意味では日本のハッカーはまだ良識（？）があるのかもしれませんがその海外のハッカーや詐欺集団にターゲットにされたらとても個人では対応できないのですからイーベイや個人輸入はクレジットカードの決済がほとんどですからしっかりと考えて対策を講じる必要があります。

例えばオークション専用の口座やクレジットカードという感じ分けるべきです。
理由は被害に遭った時点でクレジットカードは解約しないといけないのですが他の会社への引き落としも同一のクレジットで行っていると全部変更する手間がかかるのでその辺はしっかりと区別したほうがいいのです。

ネットおちおち寄付もできない

ymlojpjp — 2005-02-11T14:01:50+09:00

スマトラ大地震などの慈善団体などが寄付を募っていますよね。

アメリカではこの慈善団体のロゴなどを真似てフィッシングを行ったケースが報告されています。

しかし、よく考えてみると日本でもサイトに寄付をしようというタグがあります。

確かに１００円程度なら誰でも寄付したいと思ったりします。
しかし、この方法はすごい波及効果があるのです。

慈善事業は営利でない分他の人に抵抗なくたくさんの人から寄付を募ることができます。

そこへ有名な団体のロゴを入れて使われると誤認して寄付してしまうことがあるのではないでしょうか。
しかも、クレジットカードで寄付した場合は銀行などのようなお金を引き出すということが不要です。
クレジットカードなどの番号を使って勝手に物を買えばいいわけですからこれ以上の高い買い物はありません。

アメリカの有名なＦＢＩでも全く犯人が現在捕まえていない現実から日本の捜査当局では不可能に近いのかもしれません。

犯罪者を引き渡す条約が締結されていない国にサーバがあったりすると捜査協力という要請になりますがこれがまた当てにならないのです。

時間がかかるのですからこれは自分の寄付が全く違った人に私利私欲のために使われることも考えられます。

個人情報はとても重要なデータですがそれ以前善意を利用されたらもうお手上げです。

フィッシングサイトとメールの相関関係

ymlojpjp — 2005-02-11T14:13:07+09:00

フィッシングメールは実に９０００種類を超える数があるとか。

そこでフィッシングサイトがあるの国はアメリカが多くて次に中国、韓国そして日本だそうです。

ダントツでアメリカが多いわけですが最近の無料サーバと格安サーバの多さは半端ではありません。
特にアメリカの無料サーバの数はよく分かりませんが多いのは事実です。

そして、中国などは条約の関係からサーバへの捜査がアメリカでも難しい部分があります。

他にはロシアなんかも難しそうですね。

ネットが普及してある程度価格競争が起こっている地域ばかりが狙われています。
つまり、利便性を重視していることから簡単にサーバを借りれる地域と言ってもいいかもしれません。

それともう一つはネット人口とネットでの取引額がこの４カ国でかなりのウェートを占めます。
アメリカと日本だけでもかなりの物です。
アメリカは同時に英語圏ということで括ればイギリス、カナダ、オーストラリアなどのアングロサクソン系とシンガポールのような英語を軸に国際化を図っている国と考えれば人口から考えて中国と韓国、日本をおさえればほとんどの世界中の金持ちをゲットしたも同然と考えてもいいと思います。

日本語は難しいのでなかなか攻めにくかったのでしょうが今後は確実に日本語を知っている人を雇ってやってくると思います。

スパムより高いフィッシングのレスポンス

ymlojpjp — 2005-02-11T14:32:22+09:00

通常、マーケティングではダイレクトレスポンスマーケティングというものがあります。

通行の広告への反応率ですが１％もなくなって来ているのが現実ではないでしょうか。

そこで反フィッシングのアメリカのワーキンググループによるとスパムはレスポンスが１％なのに大してフィッシングは５％というレスポンス率だと言います。

これは簡単に詐欺集団から言えば収益が大きいということになります。

同じ通数のメールを出すならスパムのようなものではなく金融機関などに成りすましてメールを送ってクレジット番号などを盗む方が儲けが大きいということになります。

オレオレ詐欺というものがあります。

あれも成りすましてそれで電話をかけてお金を引き出すというものです。

この詐欺の特徴は子供や孫に成りすますということで信用を得ていますがフィッシングは大企業のブランド力を背景に疑惑をもたれないようにしているわけです。

ロゴなどはよく見ると違うのですがそれでも会社のブランドはとても半端ではない力があることを逆手に取っていることがはっきりと分かります。

確かに自分が利用しているプロバイダなどからのメールは信用して読んでいます。

特に日本ではＨＴＭＬメールではなくテキストメールがまだ主流ですから被害が拡大する可能性も否定できないと思います。

大量のメールに５％の人が何らかの反応をしめしてしまうこの詐欺は犯人を逮捕しない限り被害者はなかなかいなくならないのかもしれません。

フィッシングメールらしきものをすぐ通報する

ymlojpjp — 2005-02-11T14:49:12+09:00

フィッシングメールに対して警察が対応を即時行ったのは日本という国から考えると驚きという感じでしょうが本来は当たり前です。

警察のＨＰはここですから不審なメールを見たら即時報告してください。

ここです

ただ、アダルト系などはもともとフィッシングまがいのことが前からされていたのですが果たしてどこまで効果があるのかどうかという感じです。

というのも例えば裏映像なるアダルトをドルでクレジットカード決済するサイトがあります。
当然、映像自体は「日本では」違法です。

外国では合法な映像です。

しかし、そのようなサイトはほとんどがクレジットカード決済です。
そのサイトがフィッシングかそうでないかというのは正直アダルトのサイトは多すぎて誰も分からないのはお分かりだと思います。

ここからが重要ですがこの裏映像を見せることをしているがカード番号を違法に使われてしまった場合は警察はどう対応するのでしょうか？？

当然、裏映像を鑑賞した人は警察に通報しにくことは想像できます。

警察の立場上それに関してコメントは難しいでしょう。

そうなるとこの手のサイトに対してどの程度の信頼性がおけるかということより、根本的に悪用してくる人が増えるのではないかと思います。

裏映像なんていくらでもオークションで転がっているわけですからストリーミングの技術的素地があればできます。

後はクレジットカード番号を悪用ということをするコンピュータ技術者が出てくるのではないかと思います。
もちろん、いつかはばれると思いますが問題はフィッシングの手口はまだ誰も逮捕者が出ていないという点です。

つまり、アメリカからパソコン片手に中国のサーバで日本向けのサイトを作ってフィッシングされたらお手上げなのではないかと思います。

だから、アダルトについては警察は対応をさまられるのではないかと思ったりします。

いいとか悪いとかの問題ではなくそのような状況が身の回りにたくさんあると思えばスケベ心を控えておいたほうが無難です。

アメリカでのフィッシング対策として掲載されている例

ymlojpjp — 2005-02-11T15:06:01+09:00

フィッシングは今もっと不謹慎ですがホットな話題になっています。

２００３年にＦＢＩの報道官が言及したこともあいまって日本人の私でもそんなものがあるのかということを知りました。

そこでその当時にフィッシングを回避するための方法が掲載されていたので
そのまま掲載しますね。

■　スパムメールへの返信やＵＲＬへのクリックをしない

■　自分の情報を入力する場合はＵＲＬを知っている場合は
　　そこでもう一度打ち直したり会社に問い合わせてみる

■　自分が気づかずにフィッシングにかかったらすぐにクレジット会社などに
　　連絡する

■　ウインドウズの更新を常に行っておく

というものです。
別にたいしたことが書いてあるわけではありません。

逆にだから対応策は自分しだいということです。

それと最後に匿名のファイルで出所が分からないものをダウンロードしてその中にスパイウェアが含まれていることがあります。
ですから無料だからという理由でなんでもダウンロードするのはかなり危険な行為です。

ＵＲＬの偽装の手口

ymlojpjp — 2005-02-11T15:25:16+09:00

詳しくはこの解説が一番分かりやすかったのでこのサイトを見ると分かります。

ＵＲＬ偽装の手口

とにかく色々とあります。

特にウインドウズは最近よく穴を狙われています。

すげにウインドウズは限界に来ているのかもしれませんがいたちごっこです。
マイクロソフトの技術者も相当の能力を有していると思いますがそれ以上にハッカーはちょっとした隙間を狙ってくるのですからウインドウズが完全になることは当然ないわけですから個人で気をつけるしか方法がないのかもしれません。

しかし、どう考えてこのセキュリティの分野は個人ではお金を払って勉強しようということが少ないことと本などは対応できないほどドンドンと問題が浮上しています。

フィッシングはたいしたことを行っていないのですが個人へのチェックが甘いサーバなどを探して行動しているサイトがほとんどです。

では、完全に身元を確認する必要があるのかということですがこれもまた問題です。

そんなことをしていたら運用している会社は相当のコストがかかるので無料ではなかなか運用ができないことになります。

WINNYのようなファイル交換ソフトがなくならないのと一緒で対象が多すぎるのです。

ＵＲＬの偽装などもそうですが今後とは個人情報を簡単に入力するようなサイトは避けるべきです。

フィッシングは何を目的にしているかによりますが偽札事件でも明らかなように素人でもいまやプロ並にできる機材が多くあるのですから素人だとかプロだとか関係ない時代にいるのです。

ウェブデザインが信用できない

ymlojpjp — 2005-02-11T15:59:40+09:00

ＨＴＭＬメールは英語圏になると多いです。

日本ではＨＴＭＬメールのメールマガジンが少ないということもあり一般的には企業メールのイメージが強い感じがします。

よく考えるとどのサイトもデザインに年間数百万円以上かけているサイトが大企業のサイトです。

ところがどうしてか分かりませんがマネされるのです。
これはクレジットカードを入力する画面は比較的簡素なものが多いことあると思いますがそれ以上に日本では個人情報を平気で求めてくる会社が多いです。

だって、無料レポートメールを受け取ったりするのに何で名前が必要なのかという疑問があります。
もちろん適当に入力はしますがサイトで相手にコンタクトをする時に商品購入でもないのに以上に入力項目が多いものがあります。

海外ではメールアドレスと後はハンドルネーム程度が基本で年齢や性別名などを聞いているサイトは最近少ないです。

このような個人情報に対して積極的に守ろうとしているアメリカ人がフィッシングにかかるのはちょっと不思議な気もしますが当然ながら日本人は詐欺遭いやすい資質を持っているような気がします。

昔、イーベイで詐欺というかすごいことをやっている人がいました。
とんでもない出品者なのですが日本では考えられないことを平気で堂々とやっています。

結果、イーベイのセキュリティはかなり高いものですがそれでも外人は日本人をなめているなと思うことがしばしばです。

そう考えると似たデザインのサイトを見ただけで日本人って信用しちゃんじゃないかなと思います。

もちろん、そんな私でもかかるかもしれませんが・・・・。

ブログから誘導にご注意

ymlojpjp — 2005-02-26T18:24:35+09:00

ブログは現在グーグルを含めて検索エンジン側もできるだけ上位にすぐ表示されることを抑制するように動いていますが・・しかしです。

ちょっと考えていただきたいのですがページランクつまりリンクを集めなくてもある程度上位にきます。

そこから誘導して自分のフィッシングサイトや詐欺サイトへと移動させることができます。

実はこれをやっているアダルトサイトがあります。

アダルトサイトは例えば裏映像をストリーミング技術を使ってアメリカなどから配信していますが大体クレジットカード決済です。

つまり、フィッシングが可能です。

ブログはアフィリエイトなどに応用されていますがハッキリ言えばそれは同時に詐欺に使用できると言えます。
しっかりとサイトを確認しましょう。

それとＵＲＬを企業の場合は確認するとかヤフーやグーグルで検索しなおすなどしてください。

大手企業なら普通一番掲載されていますし、ディレクトリ型のヤフーなら間違いなく正式なサイトを登録されています。

さすがに裏映像のサイトは登録されていませんがその辺の怪しいサイトは自己責任です。

MSNが提示するフィッシングの恐怖

ymlojpjp — 2005-03-11T02:27:35+09:00

ＭＳＮがチャットを止めました。

この理由の一つに

ユーザさんが正体不明のURLをログとして画面に打つなど、フィッシング的な脅威を感じた面もある

という理由を掲げています。

運用する側の会社にドンドンとセキュリティを求める声が高まるなかコストが増大した。

そのために対策を講じてきましたが新たにこのようなフィッシングなどの巧妙な被害も予測されたためと思われます。

フィッシングで被害が生じた場合、アメリカなどなら確実に運用しているマイクロソフト側に賠償を請求してくるケースも出てきます。

そのためチャットやメッセンジャーはある意味危険性をはらんでいると言われています。

このような部分を考えるととても運営者がコストから考えてとてもできないと判断するのもやむを得ないことです。

フィッシング詐欺が起こるような素地が他のメディア、例えばメッセンジャーや掲示板になるとなると大きな掲示板などは大きな対策を講じなければならないということになるのかもしれません。

しかし、事実上解決は不可能で警察などにアクセスログを提供することぐらいになるのでしょう。