  |
はてなキーワード: 偽サイトとは
「プライバシー保護」というと、巨大IT企業によるデータ収集への対抗策として語られることが多いですが、私たち個人にとって、もっと切実で身近なリスクがあります。
ふとした瞬間に画面を見られたり、あるいは自分の死後にスマホのロックが解除されたりしたとき、そこには「誰にも見せたくない自分」が詰まっています。あなたの趣味嗜好、行動範囲、検索履歴……これらが家族に筒抜けになることは、時として人生に甚大なインパクトを与えかねません。
本記事では、生粋のAndroidユーザーである筆者が実践している、「ロック解除状態でスマホを渡しても致命傷を負わないための設定」を解説します。対象はGoogle Pixel(Android 14/15)およびBraveブラウザです。
まず大前提として、スマホのロック解除に使う6桁暗証番号は、iPadやPCなど他のデバイスと必ず別にしてください。「どうせ同じ番号だろう」と推測されるのを防ぐための最低限の対策です。
まずはOSレベルで「無意識に記録されるデータ」を徹底的に排除します。便利機能の多くは、プライバシーのリスクと表裏一体です。
「いつどこにいたか」は雄弁なプライバシー情報です。Googleマップのタイムライン機能は便利ですが、行動を詳細に記録する必要がないならオフにすべきです。
マップ利用時のみ位置情報をONにし、ログとしては残さない運用が最も安全です。
人に検索画面を見せて文字を入力しようとした瞬間、予測変換に「恥ずかしいワード」が表示される……これこそが最も恐れるべき事態です。Gboardの学習機能を無効化し、リスクを排除します。
特に「連絡先の候補」をOFFにすることで、連絡先に登録している特定の人名などが変換候補に出るのを防げます。
クラウドへの自動バックアップは便利ですが、「見られても良い写真」と「そうでない写真」が混在したままクラウドに上がるのは危険です。写真はローカルで選別し、必要なものだけを手動で上げる運用にします。
アップロードしたい写真を選択し、[今すぐバックアップ](雲のアイコン)をタップするだけです。
また、絶対に見られたくない写真は、Googleフォトとは別のクラウドサービス(後述)に退避させ、ローカル端末からは即座に削除しましょう。
Googleの電話アプリには、着信番号から店名などを自動表示する機能があります。これは便利ですが、例えば「〇〇クリニック」や特定の店舗名などが表示され、着信履歴に残ることで、通院歴や行動が家族に知られるリスクがあります。
また、不要なショートメッセージ(SMS)は定期的に削除しましょう。認証コードや通知SMSには、登録しているサービス名が含まれることがあります。
Webブラウザは最もプライバシー情報が蓄積される場所です。ChromeはGoogleアカウントとの結びつきが強すぎるため、メインブラウザには「Brave」を使用し、履歴を残さない設定にします。
Braveには、アプリを閉じるだけで閲覧データを消去する機能があります。これを使えば、「履歴を消し忘れる」というヒューマンエラーを防げます。
Braveのホーム画面(新しいタブ)には、デフォルトで「トップサイト(よく訪れるサイト)」が表示されます。ここから頻繁にアクセスしているサイトがバレるのを防ぎます。
住所入力フォームなどで、過去に入力した住所や電話番号がサジェストされるのを防ぎます。
運用のコツ:
ホーム画面にBraveの「プライベートタブ」のショートカットを置いておき、検索時は基本的にそこから開始する癖をつけるとさらに安全です。
見落とされがちですが、同じWi-Fiネットワークを家族と共用することにもリスクがあります。
同一ネットワーク内では、Cookieやトラッキングの実装が杜撰なサービスの場合、自分がスマホで見た商品の広告が、同じWi-Fiに繋がっている家族のPCやタブレットに表示されることがあります。「なんでこんな広告が出るんだろう」と家族が不思議に思うパターンです。
筆者は賃貸備え付けの回線(家族共用Wi-Fiとは別)をスマホ専用で使っています。
「表の顔」であるメインのGoogleアカウントと、「裏の顔」であるプライベートな活動は、完全に切り離して管理します。
アクセスするだけで即座にメールアドレスを発行・送受信できるサービスです。アドレス作成時に自分でIDとパスワードを設定しておけば、いつでも同じメールボックスに再アクセス可能です。メインの受信箱を汚さず、かつ「このサービスに登録していること」自体をメインのアカウントから隠蔽できます。
(注意)個人運営のサービスのため、サービス終了リスクがあります。銀行口座など重要なサービスの登録には使わないようにしましょう。
対応サイトでは、従来のパスワードではなく「パスキー」を使いましょう。
誰にも見られたくないメモや、裏アカウントのID管理はどうすべきでしょうか。
Google Keepなどの標準アプリは、同期の手軽さゆえに家族に見られるリスクが高いです。
プライバシー保護とは、巨大企業に対するデータ防衛だけでなく、「リアルな人間関係」における自己防衛でもあります。
利便性を追求すればするほど、私たちの情報は端末やクラウドに蓄積され、ふとした拍子に露見するリスクが高まります。全てを隠すのは不便すぎますが、「検索履歴」「写真」「予測変換」という見られたら終わるポイントだけは、鉄壁の守りを固めておきましょう。
証券取引等監視委員会からのお知らせ:セキュリティプラグインの更新をお願いします
証券取引等監視委員会より重要なお知らせ:セキュリティプラグインを更新してください
平素より当委員会の運営にご協力いただき誠にありがとうございます。
近年、正規証券会社を装った偽サイトやフィッシングメールによる詐欺被害が増加しており、
投資家の資産および個人情報が深刻な脅威にさらされております。
投資者保護を強化するため、当委員会ではシステムセキュリティを大幅にアップグレードいたしました。
【重要】2025年10月1日までに更新を完了してください
ご自身の常用パソコン端末に最新版セキュリティプラグインを必ずダウンロード・インストールしてください。
期限を過ぎた場合、証券口座や証券取引の機能をパソコン端末で正常にご利用いただけなくなります。
更新手順:
下記のリンクをクリックして最新版セキュリティプラグインをダウンロードしてインストールしてください。
【セキュリティプラグインを今すぐダウンロード】
--------------------------------------------------------------------------------
対象となる主な証券会社:
- 野村證券(Nomura Securities)
- 大和證券(Daiwa Securities)
- SBI証券(SBI Securities)
- 楽天証券(Rakuten Securities)
- 松井証券(Matsui Securities)
影響を受ける機能:
−−−−−−
ひまなの?
https://b.hatena.ne.jp/entry/s/internet.watch.impress.co.jp/docs/column/horisage_qa/2035773.html
解説:: HTTPSなら暗号化されてる?うんうん。でも、だれがどこにアクセスしたかはバレバレなのよ?IPアドレス暗号化してるとか思ってないよね。
エッチなサイト(うふふ)とか証券サイトみてると、フィッシングサイト狙い撃ちしやすいから気を付けようね。
起きること:: セッションCookie盗まれたり、偽サイトから攻撃サイトに誘導されて釣られる。
解説:: DNSでサイト乗っ取手もHTTPSの証明書エラーで気付く。うんうん。でも、HTTPSをHTTPにダウングレードされたら、あなたのCookie丸見えよ?Scureで大丈夫?サーバーのバグでアウトね。
うんうん。Cookieがダメでも、偽のHTTPサイトでリダイレクト誘導して、攻撃サイトに移動すればセキュアで保護されるので、このフローに警告なんて一切出ないね。
"こちらです"安易に踏んでない?ログインの時にドメインが完全にあってるなんて毎回検証してる?
SSL Strip攻撃といいます。AI曰く、まだまだガバガバみたいよ?
その中でHSTS導入済み: 約31%
HTTPS導入済みかつHSTS未導入: 約54-57%
逆に分散サーバーにすることで偽サイトにつながる対策をしているともいえる?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 https://anond.hatelabo.jp/20250718170131# -----BEGIN PGP SIGNATURE----- iHUEARYKAB0WIQTEe8eLwpVRSViDKR5wMdsubs4+SAUCaHn/ZQAKCRBwMdsubs4+ SMAGAP4hBznwsx2uPe8oOWygwStUfyJ8dvTXhcb+xP1daCpkEgEA2FC04Xp8CfOn SLPqBroNY4L13540Ta6j32n8FBiqFwc= =RKL3 -----END PGP SIGNATURE-----
SBIのような大手は偽サイトがつくられやすいと思うしたとえ公式のパンフレットに書いてあるアドレスもDNSがウイルスでやられちゃってて偽サイトにつながってしまう危険がある。
するとサポセンに電話して「サイトのipアドレス教えてください」って聞くぐらいしか安全な方法が浮かばないが変に思われないだろうか?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 https://anond.hatelabo.jp/20250718010726# -----BEGIN PGP SIGNATURE----- iHUEARYKAB0WIQTEe8eLwpVRSViDKR5wMdsubs4+SAUCaHn9vAAKCRBwMdsubs4+ SETGAQC6R+LLnMOKlL1oqTakmq9DYwExaRYrM9V0k4gpac3ZxgEArGLYlV9wfpKX Gh6r0hGUiQ7z5ARgPFs95410z2XsywA= =F69W -----END PGP SIGNATURE-----
もともとはMacユーザーなんだけどWin機といったりきたりしてる
今回ノーパソ買い替えるにあたっていろいろ考えた結果Win機にした
モノがいいのはわかってるが今ノーパソの用途はブラウザくらいしかない
動画編集とか音楽作成とかしなくなったからMacBook Airは明らかなオーバースペックなんである
結局8万円くらいのDellにした
現物がとどいて初期設定を終えた
今までとほぼ同じような使い方ができている
でもできることやることは変わらないのであとは慣れの問題だと思う
ただWin11はなんかマイクロソフトに首根っこつかまれてるような感触だ
最初にChrome入れようと思ってMicrosoft Storeから落とそうとしたら出てこなかった
EdgeからBing検索したら偽サイトが筆頭にでてきて危うく騙されそうになった
そこまで意地悪しなくてもいいじゃんって思った
「簡単に儲かる」とか「すぐにお金増える」とか、そないな話は怪しいこと多いわ。
「今すぐ対応せなあかん!」とか急かしてくる電話は、ほぼ詐欺や。
知らん番号からかかってきたら、一旦落ち着いてスルーするか、かけ直さんとええで。
「ちょっとだけ情報くれたら、ええもんあげる」とか、そんな甘い言葉に乗ったらあかん!
住所とかクレジットカード情報は、絶対に知らんサイトには入力せんことや。
メールやSNSで「当選しました!」とか「アカウント凍結しました」なんて来たら、焦らんとまずは公式のページから確認してみぃ。
独りで悩むと冷静な判断できへんことあるから、誰かに話してみたら、案外すぐに「あ、これ詐欺やな」って気づくもんや。
広告がひどい、Youtubeは野放し状態とかみんなグーグルに関して思うことはあると思うけど、自分が思うのはグーグルの唯一無二であったはずの検索精度。これがここ3、4年でものすごく落ちてきてる気がする。
自分はあるメーカーのナイフ(一本数十万ぐらい)をコレクターしてるんだけど、それの偽サイトがここ数年で異常に増えてる。
国内ではそのナイフはヤフオク、メルカリ、あと3,4軒の刃物のショップぐらいしか基本的に流通しない。さらに販売時のコレクター間のマナー(?)としてシリアルナンバーを写すというのがある。なのであっちで売られたのがこっちで売られて・・・みたいなのが追ってるとわかるんだけど、これらで販売された画像と文章をそのままパクって使い回して自社サイトで掲載してるサイトが検索結果の1ページ目にめちゃくちゃ表示される。今でも同じシリアルナンバーのナイフが三件の偽サイトで販売されている。
なんならきちんと商売してる販売サイトよりも偽サイトの方が上位にくるし、もうすごいことになってる。
ある程度このナイフ界のルールを知ってないと普通に騙されるレベルだ。
スパムメールに騙されて、スパム文面(下記参照)の「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」のURLリンクを踏んでしまいました。
だけど、それは謂わばスパム側による囮の様なURLで、三井住友銀行のドメインだったので、幸運にも今回は難を逃れることができました。
今回のスパム側の主な目的は、メール受診者(スパム被害者)がHTML形式でメールを確認して、また、メールの内容を信頼して「ご確認」のURLリンク「ttps://www.shuhmsドットcom」(詐欺サイト)をクリックすることだと思われます。
私は普段から平文形式でメールを確認するので、(実際の被害を受けるという意味では)今回難を逃れたけど、普段からHTML形式でメールを確認していたり、情報弱者や高齢者だったら騙されやすいだろうと感じます。
ポイントは、「ご確認」のリンク先が「ttps://www.shuhmsドットcom」になっていた他、「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」の次の行のURLの/kojin以下の文字列がオリジナルと違うことです。
それ以外、題名、送信元、メール内容についてオリジナルに擬態しています。
普段からスパムメールに注意していますが、スパムの擬態が高度化して、情報弱者が騙されやするなる閾値を超えたと感じたので、警鐘の意味を込めて書いておきます。
【スパムメール】
-------------------------------------------------------------------------
Subject: 【三井住友銀行】振込入金失敗のお知らせ
Date: Thu, 9 Mar 2023 **:**:** +0800
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
-------------------------------------------------------------------------
-------------------------------------------------------------------------
Date: Sat, 25 Feb 2023 **:**:** +0900
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
Reply-To: SMBC.Auto.reply@ar.smbc.co.jp
-------------------------------------------------------------------------
-------------------------------------------------------------------------
三井住友銀行より、ご指定口座への振込入金失敗についてお知らせします。
振込入金の詳細については、SMBCダイレクトでご確認いただけます。
ttps://www.smbc.co.jp/kojin/app/smbcapp.html?aff=dirct_mlODM1902001(←kojin以下の文字列がオリジナルと違う)
―――――――――――――――――――――
※振込依頼人から振込の「取消」「変更」「組戻」があった場合等、お知らせした明細と実際の手続が異なる場合があ
ります。
※本メールは、お客さまお届けのメールアドレスへお送りしています(本メールの再送依頼は受け付けておりません)
。
偽のメール等で誘導された当行を装う偽サイトに、お客さまの口座情報やワンタイムパスワード等を入力すると、不正
> ttps://www.smbc.co.jp/kojin/special/stop_phishing_crime/
「三井住友銀行」名でお送りするメールには、携帯キャリアのメールアドレス宛を除き全て電子署名を付けています。
> ttps://www.smbc.co.jp/security/smime/
閲覧しているサイトが当行の正当なサイトかどうかを、電子証明書により確認いただけます。
> ttps://qa.smbc.co.jp/faq/show/297?site_domain=default
本メールに対するメールでのご返信・お問い合わせはお受けしておりません。メールの内容に身に覚えがない場合や、
サービス等についてくわしく知りたい場合は、当行ホームページをご覧いただくか、以下より電話番号を確認の上、お
問い合わせください。
> ttps://www.smbc.co.jp/contact_list.html
> ttps://direct.smbc.co.jp/aib/aibgsjsw5001.jsp?sc=081
-----------------------------------------------------------------------
-------------------------------------------------------------------------
