  |
はてなキーワード: フィッシングとは
モバイルオーダーは客の端末でメニューを選ばせる、つまり本来は店が店を構えるに際して支払うべきコストを客に押し付けているわけだ。これは客のCPUを勝手に用いるようなCoinhiveと何ら変わらない。
Coinhiveよりも考えなければいけないのは、どのような経路を辿ってクラウドにあるモバイルオーダーのシステムにアクセスしたかである。つまりモバイルオーダーのシステムがハッキングされていて
フィッシングサイトに誘導される可能性だってある。しかし客側からしてはブラックボックスである。わからないのだ。PCを使っていないわけだから経路がわからない。
百歩譲ってイントラネットワークだったらまだいい。でも繋がっているのは外の世界だ。客がスマホでポチポチ頼めるようになったのも便利だし、店員をいちいち呼ばなくてもいいのもコミュ障にとっては「強飯にごま塩」だろう。
最近、SNS上では「BLは性的消費なのにフェミは男性の性的表現を叩くのはダブスタじゃないか?」というスレッドがトレンド入りしていた。
だがこの議論、よく見るとアーキテクチャの層が違う。つまり、話しているプロトコルが合っていない。
オタク文化圏では、「女性が描くBL」と「男性が描く女性向け性表現」を同一のAPIとして扱う傾向がある。
しかし実際には、両者は別レイヤーで動いているアプリケーションだ。
フェミニズムの文脈で語られる「性的表象の問題」は、主に「社会的リソースの不均衡」や「ジェンダー権力の構造」についての議論であって、単なる「表現内容」の良し悪しを審査しているわけではない。
つまり、BLを「性的に描いてるからフェミ的にアウト」と言うのは、仕様書を読まずにバグ報告を出すようなものなのだ。
歴史的に男性中心に最適化されてきた社会システムに、女性視点のパッチをあてて再コンパイルする運動と言える。
だから、「男性と女性を同じように扱うべき」という一般論をそのまま適用しようとすると、互換性エラーが出る。
たとえば「女性の性的表象は抑制されるべきだが、BLはOK」とされるのは、「権力構造上の対称性が存在しない」という前提で最適化されているからだ。
一方、「普通の女性はフェミと違う」「まともな女はそんな主張しない」という定番フレーズが出てくる。
だがそれは多くの場合、ユーザーの気分を和らげるためのUX的演出にすぎない。
実際、ほとんどの人間は制度的優遇(レディースデー、女性専用車両、離婚時の親権バイアスなど)という「プリインストールされた特権OS」の上で動いている。
たとえ本人が「私はフェミじゃない」と言っても、使っているAPIがすでにフェミ思想ベースで動作しているのだ。
つまり、「私は違う」という自己申告は、ただのUIレイヤー上の装飾にすぎない。
平等を掲げるなら、優遇措置をアンインストールする覚悟が必要になる。
だが現実には、多くの人が「平等という概念を口では支持しつつ、既得権のキャッシュを維持」している。
これはエンジニアリング的に言えば、「レガシーコードをリファクタリングすると言いながら結局コメントアウトで誤魔化している状態」だ。
男女平等を“動作保証付き”で実装しようとするなら、既存の社会制度をルート権限で書き換える必要がある。
だが、ほとんどの人はroot権限を持つどころか、ユーザーレベルの設定すらいじる気がない。
もっと根本的に言えば、日本社会の多くの仕組みは、女性優遇をデフォルト設定としてビルドされている。
その構造はあまりにも自然化されていて、誰もコードレビューをしようとしない。
アンチフェミを自称する男性すら、「女性は守るべき対象」という社会的テンプレートを内面化していることが多く、それが構造の永続化を促している。
結果として、「BLは性的消費」「フェミはダブスタ」という批判は、異なるフレームワーク間の非互換問題にすぎない。
BLは「個人の妄想の自由」をレンダリングするローカルアプリだが、フェミニズムは「社会構造の更新」を目指すサーバーサイドのシステム。
同じメソッド名を呼んでいるように見えても、実行される関数の意味がまったく違う。
つまり、「BL=性的消費」「フェミ=ダブスタ」という批判構造は、コードのバージョンが違うままマージしようとしている状態に近い。
根本的にAPI設計思想が違うのだから、いくら議論を積み重ねても互換性は取れない。
必要なのは、「どの層で話しているのか」「どの権力構造を前提にしているのか」を明示することだ。
インターネット上の情報の99%は、情報の受け手の行動や感情、お金を操作することを目的としたもの、あるいは純粋なエンターテイメントとして消費されるものとして整理できます。
一方、1%は、スキル、知識、客観的事実の伝達に特化し、ユーザーの生活や能力を向上させるために役立つ情報と言えます。
ユーザーの視点から見ると、これらの情報は「役に立たない」というよりは、「誰か(情報発信者側)の利益を優先している」あるいは「単に時間を消費させる」性質を持っていると解釈できます。
1%のジャンルは、自己成長や客観的な理解に直結する、ノウハウやデータを主軸とした情報です。
この分類は、インターネット上で情報を探す際に、「誰かの利益のためのコンテンツ」と「自分の利益のための知識」を峻別するための視点を提供しています。
日本で生まれたQRコードは、今や世界中で利用される技術となりました。スマートフォンの普及とともに、QRコードを読み取るアプリ(QRコードアプリ)は私たちの生活に欠かせない存在になりつつあります。ここでは、QRコードアプリが日本でどのように使われているのか、そして今後どのような可能性があるのかを見ていきましょう。
https://apps.apple.com/jp/app/id6747792526
PayPay、楽天ペイ、LINE Pay など、日本のキャッシュレス決済サービスはほとんどQRコードに対応しています。コンビニ、飲食店、ショッピングモールなどでスマホをかざすだけで支払いが完了。小規模店舗でも導入しやすいため、地方の商店街にも広がっています。
新幹線や飛行機のチケットはQRコードで発券・搭乗が可能。紙のチケットを持ち歩く必要がなく便利です。
観光地では、看板やパンフレットにQRコードが印刷されており、スキャンすることで多言語ガイドや音声案内にアクセスできます。
病院の受付番号票や処方箋にQRコードが付いているケースも増えています。行政でも、自治体の広報誌やポスターにQRコードを載せて、市民に最新情報を届ける工夫が見られます。
名刺にQRコードを載せて、LINEやLinkedInに直接アクセスできるようにするビジネスパーソンが増えています。
広告やキャンペーンポスターのQRコードから、そのまま応募フォームやECサイトに飛ぶのも一般的になっています。
安心・安全 – 正規サービスのアプリを通じて利用することで、フィッシング対策にもつながる
今後の展望
まとめ
QRコードアプリは、日本で生まれた技術を私たち自身がより便利に使いこなすためのツールです。買い物、旅行、医療、行政と、生活のあらゆる場面で役立っており、今後も新しい使い方が広がっていくでしょう。QRコードを通じて、私たちの暮らしはますますスマートで快適になっていくはずです。
https://b.hatena.ne.jp/entry/s/internet.watch.impress.co.jp/docs/column/horisage_qa/2035773.html
解説:: HTTPSなら暗号化されてる?うんうん。でも、だれがどこにアクセスしたかはバレバレなのよ?IPアドレス暗号化してるとか思ってないよね。
エッチなサイト(うふふ)とか証券サイトみてると、フィッシングサイト狙い撃ちしやすいから気を付けようね。
起きること:: セッションCookie盗まれたり、偽サイトから攻撃サイトに誘導されて釣られる。
解説:: DNSでサイト乗っ取手もHTTPSの証明書エラーで気付く。うんうん。でも、HTTPSをHTTPにダウングレードされたら、あなたのCookie丸見えよ?Scureで大丈夫?サーバーのバグでアウトね。
うんうん。Cookieがダメでも、偽のHTTPサイトでリダイレクト誘導して、攻撃サイトに移動すればセキュアで保護されるので、このフローに警告なんて一切出ないね。
"こちらです"安易に踏んでない?ログインの時にドメインが完全にあってるなんて毎回検証してる?
SSL Strip攻撃といいます。AI曰く、まだまだガバガバみたいよ?
その中でHSTS導入済み: 約31%
HTTPS導入済みかつHSTS未導入: 約54-57%
SBI証券は数日前にログイン方法(端末認証手順)を変更しましたが、とてもひどいものでした。
新しいSBI証券のwebサイトでID/パスワードを入力してログインボタンを押すと、突然40秒のカウントダウンタイマーと毎秒短くなっていく進捗バーが表示され、タイムアタックが開始されます。制限時間内に受信メールにかかれているURLをクリックし、難しい確認同意をした上で、確認コードの入力をして2回ボタンを押す事が強要されます。
新しい端末での初回ログインでは、必ずこの複雑な端末認証が必要となりました。
端末認証方法の詳細は後半に記載します。正しい制限時間は40秒x5回となりますが、40秒と誤認する方が多いと思います。またメール受信にかかる時間を考慮すると数分では全く足りないでしょう。
この端末認証方法では、してはダメとされている事を2つもユーザーに強要しています。SBI証券は急いでこの方法を中止して元に戻してください。対応が遅くなればなるほど、多くのユーザに誤った知識を学ばせる事になります。
1つは、「メールのURLをクリックしてはだめ。もしもクリックしても、その先の画面で重要情報の入力をするのは絶対だめ」なのにメール内URLをクリックさせて認証コードを入力させる行為。
もう1つは、「急かしてくるような行為は詐欺が多いので、ゆっくり考えて判断しましょう」が一般常識なのに、ユーザーをカウントタイマーで急かしながら複雑な操作を要求する行為。
この2つはフィッシングや詐欺被害を減らすために、様々な方たちが努力してユーザに啓蒙してきた事です。そのおかげで詐欺の件数もある程度抑えられていたと想定できます。なのにSBI証券のような大手金融機関が率先してルール違反を強要するのはありえません。せっかくのこれまでの努力が水の泡です。
セキュリティの啓蒙活動のおかげで意識が高まって詐欺を防げていた事例ってたくさんあると思います。例えば、30分以内に申し込まないといけない高額投資案件ってちょっと変だからやめておこうとか。クレジットカードの期限切れ警告メールは気になるけど、メールのURLではなくクレジットカード会社のトップページからアクセスして確認しようとか。
今後は、「証券会社でもカウントダウンタイマーに急かされながらURLクリックさせられたし、この奇妙なWEB申込み画面も問題なさそう」と油断して騙されるユーザーが出てきてもおかしくありません。
SBI証券としては、パスキーなどを導入するまでの一時的なつなぎのつもりらしいですが、数カ月間だとしても大手金融機関が不適切な手法を強要する悪影響は計り知れません。自社の影響力をもっと考えてください。
自社の利益を追求するのも結構ですが、それは公共の利益が損なわれない範囲でお願いします。
今回ユーザーから批判が出たためSBI証券ではカウントダウンタイマーを40秒から60秒に延長する改善をしたようですが、本質的な問題は解決していません。
緊急で端末認証方法を以前の方法に戻して、その上で今後の方針を再検討してください。今回の方法以外に許容できる選択肢がなかったのか甚だ疑問です。
---------------------------------------------
これは端末を事前登録してセキュリティを高めるためのシステムで、この事自体は全く問題ありません。
40,39,38,37という数字のカウントダウンと共に、横長の進捗バーがどんどん短くなっていき、あせらされます。
届いたメールを見ると長いURLが書かれていてそれをクリックして開くことを求められます。
ちなみに、SBI証券からは、以前にール内のURLをクリックしてIDやパスワードを入力してはいけないと通知が来ていました。
でもクリックしてみるしかありません。カウントダウンが継続していて急がされているので、ユーザーにはゆっくり考えている暇は与えられません。
URLをクリックした画面には「ユーザーネームやログインパスワードを入力したログイン画面は、メールやSMSなどから開いていませんか?」という赤字の画面が出ます。
そこで「ログイン画面はメールやSMSからは開いていません」を選択すると、認証コードを入力できるようになります。
カウントダウンが進んでいるので焦りながら、最初のパスワードを入力した画面はブックマークから開いていて、今は確認コードを入力する画面なので違うよなと判断する必要があります。
そして、このメールから開いた画面に確認コードを入力する必要があります。
メールの送信から、この確認コード入力完了までが40秒です。メール受信ラグまで考えると運が良くないと40秒では無理です。
多くの場合、一度は確認コードが時間切れとなり、新しく発行されたコードを入力してやっと認証ボタンを押すこととなります。認証ボタンを無事押せてとなるでしょう。
最初のログイン画面で「認証コードを入力し、認証が完了したことを確認しました。」にチェックを入れて「デバイスを登録する」ボタンを押して完了です。
ここまでに160秒以内に完了できなければ最初からやりなおしです。
(認証コード5回まで表示可能なので40秒x5回で200秒の猶予しかありません)
批判が出た事もあってか、8月15日に制限時間が40秒から60秒に延長されました。全体猶予はその5回分で200秒から300秒に延びました。
メール受信の時間や様々な操作を含めて、この制限時間です。5分では間に合わない事も多々あるんじゃないかなと想定されます。
---------
最後に、フィッシングへの対応について個人的な意見を1つだけ書かせてください
サイトが正しい事をユーザーの目視で確認しましょうってなっていますが、現実的に無理です。正しいURLもややこしくて、SBI銀行がnetbk.co.jpで、ゆうちょがjapanpost.jpなどなど、そんなの面倒で覚えていられません。URLを目視で正確に判定するのは不可能です。似たようなドメインにユーザーが騙されるのは仕方ないと思います、
ドメイン確認を自動でしてくれて、パスワードを安全に管理して自動入力してくれるパスワード管理ツールなしで日々安全にサイトを利用するのは不可能だと思います。
それなのに、金融機関もマスコミもパスワード管理ツールの案内を全くしないのが不思議です。
下記のような条件を満たしたパスワード管理ツールをみんなが使うべきだと思います。現実的には無料ならbitwarden有料なら1passwordが第一選択になります。
中間者攻撃の話をしているので、通信経路の途中にプロキシを仕込むような話ではありませんか?
ユーザがサービスに対してパスキーを生成したつもりにさせておいて、本当のパスキー(秘密鍵と公開鍵)はプロキシが作ってサービスに登録しておけばいい
なりますしによるパスキー登録のパターンですね。攻撃シナリオとしてはあり得ます。
イメージとしては
1. フィッシングサイトに通常のID/パスワードでログインさせる
2. フィッシングサイトが正規サイトへ中継ログインし、正規のログインセッションを窃取する
3. そのセッション情報を使って攻撃者が自分の端末へパスキーを登録する
になるでしょうか。
ただこの攻撃は最初にユーザがパスキー以外の方法でフィッシングサイトへログインしようとする行動が必要です。
今後発生しうる可能性は勿論ありますが、パスキーを使う前段の問題でしょう。やはりパスワードは滅ぼすべきですね。
(勿論サイト側としても、パスキーが登録されたらユーザ側へメール等で通知して作成されたことを知らせると言った対策は必要です)
パスキーの設定のタイミングで秘密鍵の作成と公開鍵の登録のところをまるっとジャックできるのであれば、偽のパスキーを登録することができるからである
想定している攻撃シナリオのイメージがよくわからないです。「第三者が何らかの方法で正規のパスキーを窃取する」シナリオでは無いですよね(これは別の手段で防御すべき課題です)。
「偽のパスキーを登録」というのは「フィッシングサイトに対してユーザがパスキーを作ってしまう」ということですか?
フィッシングサイトのドメインに対して作られたパスキーはフィッシングサイトでしか使えないものなので全く意味がありません。
ドメイン騙せないという点においてもそんなものhttpsで達成できていることであり、パスキーだから何かが変わることではない
いいえ。ドメイン名の検証を人間の目でやるのではなく、ブラウザが内部的に行うところが大きな違いです。
人間が「ここは正規サイトだ」と思い込んでパスキーを使ってログインしようとしても、ブラウザが不一致と判断すれば不可能です。
https://b.hatena.ne.jp/entry/s/xtech.nikkei.com/atcl/nxt/column/18/00001/10906/ を見て、パスキーでできること、できないこと、その他まとめます。
パスキーはドメインと紐付けて鍵を生成するので、ドメインが異なる別のサイト(フィッシングサイト)へ正規サイト用の鍵が用いられてしまうことはありません。
人間の目にはどれだけ精巧なフィッシングサイトであっても、ブラウザから見ればドメインが違えばそれは全く別のサイトです。騙されやすい人間ではなく「ブラウザがドメインから判断して適切な鍵を利用する」が肝と言えます。
これでフィッシングサイトは実質、無意味なものになりました。やったね!
※マスコミ用語(?)ではリアルタイムフィッシングと呼ぶようですが、一般的にはこれは中間者攻撃と呼ばれるものです。「ほぼ」としたのは、ブラウザやOSの実装にバグがない限りという条件が付くためです。
パスキーの突破が不可能なら、ユーザにパスキーを使わせなければ良いのです。ブラウザやOSを騙すより人間を騙す方が遥かに容易いでしょう。
こんなメッセージを見て「パスキー使えないのか~、じゃあパスワードでログイン、ポチっとな」となる人が絶対居るのでパスキーとパスワード廃止はセットであるべきです。が、パスキーを使えないレガシーな環境を切り捨てることになるので、サービス提供者側としてはやりにくいでしょう(今時パスキーも使えないレガシー環境を許容すべきではないのですが)。
またパスワードを廃止したとしても、次はアカウントリカバリ手段への介入・悪用からの乗っ取りを目的として誘導するフィッシングサイトが作られるでしょう。
ユーザ側の認知度の問題の他に、サービス提供者側はパスキー実装だけでなく既存認証基盤との共存を考慮する必要があるのでそれなりのコストが掛かるようです。
それでも金融資産を扱うサイトは変なワンタイムパスワードなんかやってないでさっさとやるべきなのですが。
パスキーは認証のためのものであって、認証された後にマルウェアなどがセッショントークンを窃取する攻撃には無力です。
スマホでの使い勝手からよく誤解されていますが、生体認証はパスキーの要件ではありません。
生体認証は「Webサイトログインのための本人確認」ではなく「鍵を使うための本人確認」です。この本人確認の手段は必ずしも生体認証でなくとも構わないのです。
パスワードと違って、1つのサイトに対してプラットフォーム毎にパスキーを作成することが可能です。
最近はブラウザまたはOSの同期機能で1つのパスキーを共有することもできますが、ログイン手段の冗長化という観点でプラットフォーム毎に作っておくのも良いかと思います。
証券会社なんて基本は嫌いだけど、バッシングは狂ってる。金融庁も狂ってる。
客が、パスワードをちゃんと管理し、証券会社のドメインをちゃんと確認して入力していれば起こらなかったわけで。
例えば特殊詐欺のうちオレオレ詐欺で、カネ盗られたとして、そのカネがもともと入っていた みずほ銀行にバッシングが行くか?みずほ銀行は補償をすべきか?
例えば家の鍵を閉めず泥棒に金塊を盗まれたとして、金塊の製造会社とか、家の建築会社は補償をすべきか?
フィッシングについては、例えば三井住友銀行に口座を持ってるやつが、預金のつもりで「三ゥ゙井ずミトめ銀行」って書かれた銀行風の建物に行って、カネをみすみす犯罪者に渡すようなもん。
(フィッシングはドメインを見分けて基本的には対処できることからのたとえ)
職場の同僚がその「三ゥ゙井ずミトめ銀行」エピソードを話してきたとき、心の底からかわいそうにと思えるか、同情できるか?俺なら成年後見制度を真剣に勧めるよ
証券会社なんて基本は嫌いだけど、バッシングは狂ってる。金融庁も狂ってる。
客が、パスワードをちゃんと管理し、証券会社のドメインをちゃんと確認して入力していれば起こらなかったわけで。
例えば特殊詐欺のうちオレオレ詐欺で、カネ盗られたとして、そのカネがもともと入っていた みずほ銀行にバッシングが行くか?みずほ銀行は補償をすべきか?
例えば家の鍵を閉めず泥棒に金塊を盗まれたとして、金塊の製造会社とか、家の建築会社は補償をすべきか?
フィッシングについては、例えば三井住友銀行に口座を持ってるやつが、預金のつもりで「三ゥ゙井ずミトめ銀行」って書かれた銀行風の建物に行って、カネをみすみす犯罪者に渡すようなもん。
職場の同僚がその「三ゥ゙井ずミトめ銀行」エピソードを話してきたとき、心の底からかわいそうにと思えるか、同情できるか?俺なら成年後見制度を真剣に勧めるよ
まぁ実際Googleのアカウント管理は厄介ですよ。個人的にはとっととマイナンバーカードで認証できるようにして欲しい
…と、言っていてもしょうがないし、
Googleからしたら、アカウント乗っ取りから利用者を守る必要があるわけで
未登録の情報でリカバリできるとしたら、それは他人がアカウント乗っ取れることとほぼ同義ですから
銀行口座のように事前の本人確認をちゃんとしてるわけでもないし
自分で自分の情報を登録して自分で最新化していくしかないんですよ。自衛のために
本当にリカバリしたい利用者だって星の数ほどいるわけで、個々のリクエストに人間が対応するわけにもいかない
とはいえ、たかがアカウント管理にそんなにコストもかけてられないし
Googleが完璧な案内をしてくれれば…と理想論をいったところで、期待できません
大本の増田にも書いてありますが、紙に印刷して安全な場所に保存しておくのが結局一番コスパがよさそうだというのが現状の私の考え方です
パスキー等は印刷できませんから、パスワードとバックアップコードが対象です(2FAを有効化していなければパスワードだけ)
これでリカバリ(というか普通にログイン)できるので、パスキーはいくら失っても構いません。再発行すればよいだけです
パスキーが使いにくいと感じる人が多くいるのは否定しませんが、フィッシング対策としてはかなりの効果が期待できます。使い勝手との兼ね合いでご自由に
なお、リカバリ用の連絡先は、電話もメアドも気付かないうちに使えなくなる可能性があるのでそこまで信用できません(と、あなたには言うまでもありませんね)
無論、全てのアカウントをそうする必要などありません(そんなことできません)
Google、Apple、MS、1Passwordなどの『PW管理ツール自体のパスワード』あたりの絶対に失いたくないアカウントだけは少し手間がかかることを受け入れざるを得ないでしょう。急がば回れ、転ばぬ先の杖です
(理屈で言えば『PW管理ツール自体のパスワード』だけがそうなっていれば事足りるのですが、リスクヘッジしておいたほうがいいでしょう)
余談ですが、
私はGoogleやMSの締め出されたくないアカウントには認証方法(≒本人確認手段)を10以上設定しています
いま確認したら、Googleのパスキーは7つもありました(Android端末数台、PC数台、iCloudキーチェーン、…etc)
もちろん、これは万人にお勧めできるやり方ではありません
