  |
はてなキーワード: ドメイン名とは
パスキーの設定のタイミングで秘密鍵の作成と公開鍵の登録のところをまるっとジャックできるのであれば、偽のパスキーを登録することができるからである
想定している攻撃シナリオのイメージがよくわからないです。「第三者が何らかの方法で正規のパスキーを窃取する」シナリオでは無いですよね(これは別の手段で防御すべき課題です)。
「偽のパスキーを登録」というのは「フィッシングサイトに対してユーザがパスキーを作ってしまう」ということですか?
フィッシングサイトのドメインに対して作られたパスキーはフィッシングサイトでしか使えないものなので全く意味がありません。
ドメイン騙せないという点においてもそんなものhttpsで達成できていることであり、パスキーだから何かが変わることではない
いいえ。ドメイン名の検証を人間の目でやるのではなく、ブラウザが内部的に行うところが大きな違いです。
人間が「ここは正規サイトだ」と思い込んでパスキーを使ってログインしようとしても、ブラウザが不一致と判断すれば不可能です。
この文章は作者の認知や信念を吹き込まれたAIが記述しています。そこまで間違ったことは言ってないつもりですが、読む場合はその点考慮して。
---
| 項目 | ガイドラインの主張 | ツッコミ(現実の運用視点) |
| **パスキー推し** | FIDO2/パスキーを“耐フィッシング”として強く推奨 | ① 結局パスワード復旧経路が残りがち → そこをフィッシャーに突かれれば元の木阿弥。 ② パスキー同期には「SE(セキュアエレメント)搭載端末+クラウドバックアップ+ビッグテックアカウント」前提。本当に全利用者が持ち歩ける?失くした時の再発行フローはどれほど煩雑? ③ 「パスワードマネージャー+強制自動補完」のほうが導入コスト・学習コストともに圧倒的に低いのに完全スルー。 |
| **多要素認証 (OTP 等)** | OTP の発行経路を分けるなどで安全性を高めよ | “経路分離”を勧めつつ、**OTP フォームをそのままフィッシングサイトに埋め込まれたら詰む**という根本問題までは触れず。SIM スワップやプッシュ爆撃の最近例も載せないのは片手落ち。 |
| **HTTPS 周り** | 画像 1 枚でも非 HTTPS なら錠前外れるからダメ | この指摘は正論。ただし本質は HSTS/upgrade-insecure-requests を徹底させればほぼ自動解消。コントラスト比の話まで細かく書く割に *HSTS preload* への言及ゼロは惜しい。 |
| **ドメイン確認の啓発例** | 「正規ドメインを見つければ安心」的な“悪い例”を紹介 | “悪い例”を示す姿勢は良いが「じゃあ何を見れば良いの?」という代替基準を提示せずに終わっている。利用者教育に丸投げは厳しい。ドメイン名を偽装するIDNホモグラフ攻撃を考慮したり、未だにフィッシングが発生している現状も誰もドメイン名を確認できないという現実を表してるし、だからこそパスワードマネージャーだとかパスキーなのに。 |
| **重要 5 項目** | 「メール送信ドメイン認証/多要素認証/ドメイン管理…」を必須扱い | サーバ側チェックリストとしてはコンパクトに整理されたが、**クライアント側の“自動フィル”戦略(パスワードマネージャー)を完全に欠落**。エンドユーザ視点の即効性では一丁目一番地の対策なのに…。 |
---
1. **「パスワードマネージャー前提」のセクション追加**
* ドメイン単位の自動補完を“正解”として教え、手入力をさせない UX を推進。人間が URL チェックで勝つのは無理。
2. **パスキー導入時の“リカバリーポリシー”の明文化**
* 失端末時の本人確認経路がどこで“パスワード復活”に回帰するかを図示し、そこが最弱点になることを強調。
* パスキー非対応環境向けに、トランザクション署名(決済内容を端末に表示→同意タップ)の導入を例示。
4. **HSTS preload/COOP 等のブラウザネイティブ保護の活用**
* 「全部 HTTPS」にとどまらず、ブラウザ側で強制される仕組みをセットで導入するガイドを追記。
* パスワードでも“過去に保存された端末以外からのログイン要求は即ブロック+アラート”など、実例付きで書くと◎。
---
#### 💡 まとめ
ガイドラインは **“事業者側の整備チェックリスト”** としてはよく整理されています。ただし**ユーザーが今日から実践できる“入力しない”系対策(パスワードマネージャー)を全く触れていない**のは惜しい。
「パスキーさえ入れれば万能」みたいな印象を与えないよう、**復旧経路=フィッシング経路** になり得る現実と、**導入ハードルの高さ** を明確に書き加えるとより実践的になりますね
---
| PDF の記述 | 見落としている現実 |
| **「多要素認証を必須にしよう!」** ログイン・設定変更・送金時に TOTP/SMS/メール OTP を組み合わせるべし、と力説 | **中継型フィッシング(AitM リバースプロキシ)で OTP はその場で横取り可能。** 利用者がトークンを入れた瞬間、攻撃者はセッションを生成→被害成立。 → *“もう 1 要素足せば OK” という前提が崩壊* |
| \*\*「OTP 窃取事例が増えている」\*\*とは一応書いてある | でも対策は \*\*「目的をメッセージ内に書け」と「経路を分離しろ」\*\*程度。 → **AitM のリアルタイム中継**を防げない点に触れず、“二経路なら安心” という 2010 年代の発想のまま |
| **「耐フィッシング MFA として FIDO2/パスキーを検討」** | そこは評価◎。しかし **パスキー復旧=パスワード経路** をどう守るかが不在。 復旧時に結局メール+リンクでパスワード再設定→AitM で焼け野原、は書いていない |
### 🔥 リバースプロキシ型フィッシング (AitM) の流れ
1. 攻撃者が `evil-proxy.example` を立て、裏で正規サイトへリバースプロキシ。
2. 被害者がログイン → パスワードも TOTP も**その場で**中継。
3. 攻撃者は正規サイトで完全なセッションクッキーを取得し、以後 OTP 不要で好き放題。
> **結論:TOTP/SMS OTP は「パスワード再利用勢」への応急処置**に過ぎず、
> **パスワードマネージャー+一意乱数パスワード勢**には負担だけを増やす事になる。
---
| 目的 | 具体策 |
| **AitM への真の対抗策** | - **パスキー/FIDO2** を「ユーザー検証付き+同一サイト限定」で推奨 - **トランザクション署名**(金額・宛先を端末に表示→確認タップ)を必須化 |
| **“上級者は OTP 要らない” オプション** | - **リスクベース認証**:信頼済み端末&一意パスワードなら OTP 免除 - **デバイスバインディング**:Cookie+TLS ClientCert で本人端末限定ログイン |
| **復旧経路が最弱点** | - パスキー利用者でも **「復旧は対面確認 or 物理郵送コード」** 等で別経路を強固に - 「メールリンクだけ復旧」は明示的に非推奨と記載 |
| **ユーザー負担の最小化** | - **「OTP 全面必須」ではなく“高リスク操作のみ step-up MFA”** 方針を明文化 - パスワードマネージャー利用者には「危険を理解した上で OTP オフ」チェックを用意 |
---
もっと言うなら、MFA として FIDO2/パスキーを検討がおかしいかな。
FIDO2/パスキーは、基本的に鍵をなくしたらどうしようもなくなるほど、ガチガチのセキュリティ施策なのでMFAする意味ないです。パスキー一要素だけで、全然セキュリティ強度は高いです。
ついでに、パスキー使うならパスワード経路もメール経路も含めて完全に普及経路を遮断して不退転の覚悟を持って、多くの人を殺す覚悟で持って進めてほしいですね。☺️
それくらいパスキーは劇薬です。本気で覚悟持ってパスキー利用に進みますか?☺️
半端に混在させるくらいなら、
私は長い間、Google Chromeのユーザであった。
君はとても素晴らしいブラウザであった。
どんなウェブサイトでも、瞬時に正しく表示してくれた。君が表示できないのであれば、それはWebサイトが間違っているか、あるいは世界中の誰にもできないことなのだと諦められた。
数年前までは。
この数年で急に何かが起こったわけではない。少しずつ、私が広告から距離を取る方法に慣れてきたのだ。
最初はブラウザの拡張で広告をブロックするところから始まった。
ブラウザの拡張で広告をブロックする方法は、たびたびウェブサイトのレイアウトを破壊した。無理もないことだ。
Webサイトのオーナーにとってみれば、あるはずのものがなくなっているのだから。
そのため、ウェブサイトの閲覧中にそういう気配を察して、ブラウザの拡張をオフにすることもよくあることだった。
その気配を読めずに、このサイトぶっ壊れてる、と誤解してしまうことも本当によくあった。
安心して使えないと言えば、ブラウザの拡張を使うと、ブラウザに尿辞されている全てのコンテンツを見られてしまうことになるので、センシティブなサイトを見るときには止めるのが常識だった。
センシティブなサイトというのは、まあ色々だ。特にログイン画面を開いて、パスワードを入力した後、拡張を有効にしたままだったことに気づいてドキドキしたこともあった。
それからしばらく経ち、広告をブロックするために DNS を使うようになった。
専用の DNS リゾルバーを設定することで、広告関連のドメイン名を解決できなくする仕組みだ。私はこれに感動した。
これによってブロックできる広告の種類が増えた。今まではブラウザの拡張を使っていた時は、ブロックできるのは基本的にはPCのブラウザの広告だけだった。
DNSを使った仕組みを使えば、スマホのブラウザに表示される広告はもちろん、アプリ内に表示される広告もブロックできるのだ。
導入した当初の感動は、今でも覚えている。
広告がブロックされるとそのスペースにグレー(グレーでなかったかもしれない。忘れてしまった)の四角が代わりに表示されるのだが、スマホのブラウザでウェブサイトを見ると、三分の一ぐらいがグレーだった。
それからまたしばらく経ち、Microsoft Edge に乗り換えた。スマホ版の Edge はデフォルトの機能として広告のブロックができる。
今はそれを有効にして使っている。引き続きDNSを使った広告のブロックも併用している。
これでほとんどの広告はブロックできているし、広告の跡地にグレーの四角が表示されることも無くなった。
非常に快適なだけでなく、一周回って、古き良きインターネット、という感覚を味わえるので、特にインターネット中高年にはおすすめだ。
そういうわけで、もうスマホでは Edge がメインのブラウザになってしまったので、PC でもブラウザは Edge を使っている。
Windows でも、Mac でも Edge を使っている。以前は全ての環境で Google Chrome だったのだが、今は特にスマホ版のウェブサイトで Google Chrome を要求する一部のサイト(吉野家のサイトがそうだ)でしか使っていない。
一昔前、職場では IE しか対応していないウェブサービスを使うために IE を開いていたぐらいに老人の私にとって、今の Goggle Chrome は完全に昔の IE だ。
(そうはいっても、当時のIEよりは遥かにマシなIEではある。それは認める。)
一般社団法人のみなし解散について | 一般社団法人設立.net
事業を継続したいのであればきちんと手続きを行う事が大事ですが、もしみなし解散された場合は、救済措置がとられています。
解散登記された日から3年以内であれば社員総会で継続をすることの決議を行い、法務局へ登記することで復活させることができます。
ただ単に継続の決議を行うだけでなく、清算人・代表清算人の登記や職権で抹消された役員の再任、理事会設置法人であれば理事会設定の決議等も必要です。継続登記の手続きは大変複雑ですので、専門家へ依頼する方が良いでしょう。
また、変更事項が発生した場合は原則2週間以内に法務局へ変更登記申請をしなければならないため、登記を怠っていた場合は、裁判所から過料の通知が送られてくる可能性があります。
しかし、打越さく良は国会議員。北原(渡邉)みのりは脱退。めちゃくちゃである。
ここでははっきり正義記憶連-正義記憶財団との関係がはっきりしている。そして希望のたねは広報、募金活動、つまり資金を取り扱っている団体ということになる。
検察、「正義連寄付金横領疑惑」尹美香議員に懲役5年求刑=韓国の反応 : カイカイ反応通信
韓国与党、慰安婦支援団体元代表の尹美香に対する議員除名推進=韓国の反応 : カイカイ反応通信
となれば、キボタネが集めたお金も当然尹美香が横領していた。さらにそれは北朝鮮に流れていたことになる。
更新日時を見ると2021年が最新で、この2年間はなにもないが、
Mail:ドメイン名kibotane.org
しかし、法人格がない現在、取引(募金、集会参加等)は一切しないほうが良い。いつ消えるか全くわからない。
親北かどうかはどうでもいい。正義連や貧困ビジネス、性犯罪被害者団体の正体は人身売買組織だからだ。
本人たちはそう考えていないかもしれないが、病気を装う、生活保護をもらうために演技させる、そして自分たちの施設で飼い殺しにする。
この慰安婦の人身取引モデルは大成功し、それを真似して法律にしたのが困難女性支援法という狂った法律で、これを通した国会議員(きれいに全員)売国奴であり普通に粛清の対象として良い。税金を横領して身を切る改革も何もない。
実際ちゃんと大学行ってれば少なくとも偏差値50以上はあるような人たちだと思う
ある程度の読解力と根気と周辺知識を自分で調べて補うような能力がないとこんな文章は読めるようにならない
お客様独自のドメイン名を使用して、GraphQL エンドポイントにアクセスできます。 AWS AppSync では、お客様の AWS AppSync API でカスタムドメイン名を使用して、GraphQl エンドポイントとリアルタイムエンドポイントにアクセスすることができます。AppSync でカスタムドメイン名を作成するには、所有するドメイン名を提供し、ドメインをカバーする有効な AWS Certificate Manager (ACM) 証明書を示すだけです。カスタムドメイン名を作成すると、アカウントで利用可能な AppSync API にドメイン名を関連付けることができます。AppSync が提供するドメイン名にマッピングするように DNS レコードを更新した後、新しい GraphQL エンドポイントとリアルタイムエンドポイントを使用するようにアプリケーションを設定することができます。アプリケーションを更新しなくても、カスタムドメインの API アソシエーションをいつでも変更できます。AppSync がカスタムドメインエンドポイントでリクエストを受信すると、関連する API にルーティングして処理します。
スマートフォンや Chromebook などの子供のコンピューターで Youtube を禁止する手法として指定ホスト名での遮断があるが、Youtube の禁止・遮断は「youtube.com」をホスト名でフィルタリングするのではなく、次の2ドメイン名を禁止した方がいいかも。
