  |
はてなキーワード: 偽サイトとは
証券取引等監視委員会からのお知らせ:セキュリティプラグインの更新をお願いします
証券取引等監視委員会より重要なお知らせ:セキュリティプラグインを更新してください
平素より当委員会の運営にご協力いただき誠にありがとうございます。
近年、正規証券会社を装った偽サイトやフィッシングメールによる詐欺被害が増加しており、
投資家の資産および個人情報が深刻な脅威にさらされております。
投資者保護を強化するため、当委員会ではシステムセキュリティを大幅にアップグレードいたしました。
【重要】2025年10月1日までに更新を完了してください
ご自身の常用パソコン端末に最新版セキュリティプラグインを必ずダウンロード・インストールしてください。
期限を過ぎた場合、証券口座や証券取引の機能をパソコン端末で正常にご利用いただけなくなります。
更新手順:
下記のリンクをクリックして最新版セキュリティプラグインをダウンロードしてインストールしてください。
【セキュリティプラグインを今すぐダウンロード】
--------------------------------------------------------------------------------
対象となる主な証券会社:
- 野村證券(Nomura Securities)
- 大和證券(Daiwa Securities)
- SBI証券(SBI Securities)
- 楽天証券(Rakuten Securities)
- 松井証券(Matsui Securities)
影響を受ける機能:
−−−−−−
ひまなの?
https://b.hatena.ne.jp/entry/s/internet.watch.impress.co.jp/docs/column/horisage_qa/2035773.html
解説:: HTTPSなら暗号化されてる?うんうん。でも、だれがどこにアクセスしたかはバレバレなのよ?IPアドレス暗号化してるとか思ってないよね。
エッチなサイト(うふふ)とか証券サイトみてると、フィッシングサイト狙い撃ちしやすいから気を付けようね。
起きること:: セッションCookie盗まれたり、偽サイトから攻撃サイトに誘導されて釣られる。
解説:: DNSでサイト乗っ取手もHTTPSの証明書エラーで気付く。うんうん。でも、HTTPSをHTTPにダウングレードされたら、あなたのCookie丸見えよ?Scureで大丈夫?サーバーのバグでアウトね。
うんうん。Cookieがダメでも、偽のHTTPサイトでリダイレクト誘導して、攻撃サイトに移動すればセキュアで保護されるので、このフローに警告なんて一切出ないね。
"こちらです"安易に踏んでない?ログインの時にドメインが完全にあってるなんて毎回検証してる?
SSL Strip攻撃といいます。AI曰く、まだまだガバガバみたいよ?
その中でHSTS導入済み: 約31%
HTTPS導入済みかつHSTS未導入: 約54-57%
逆に分散サーバーにすることで偽サイトにつながる対策をしているともいえる?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 https://anond.hatelabo.jp/20250718170131# -----BEGIN PGP SIGNATURE----- iHUEARYKAB0WIQTEe8eLwpVRSViDKR5wMdsubs4+SAUCaHn/ZQAKCRBwMdsubs4+ SMAGAP4hBznwsx2uPe8oOWygwStUfyJ8dvTXhcb+xP1daCpkEgEA2FC04Xp8CfOn SLPqBroNY4L13540Ta6j32n8FBiqFwc= =RKL3 -----END PGP SIGNATURE-----
SBIのような大手は偽サイトがつくられやすいと思うしたとえ公式のパンフレットに書いてあるアドレスもDNSがウイルスでやられちゃってて偽サイトにつながってしまう危険がある。
するとサポセンに電話して「サイトのipアドレス教えてください」って聞くぐらいしか安全な方法が浮かばないが変に思われないだろうか?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 https://anond.hatelabo.jp/20250718010726# -----BEGIN PGP SIGNATURE----- iHUEARYKAB0WIQTEe8eLwpVRSViDKR5wMdsubs4+SAUCaHn9vAAKCRBwMdsubs4+ SETGAQC6R+LLnMOKlL1oqTakmq9DYwExaRYrM9V0k4gpac3ZxgEArGLYlV9wfpKX Gh6r0hGUiQ7z5ARgPFs95410z2XsywA= =F69W -----END PGP SIGNATURE-----
もともとはMacユーザーなんだけどWin機といったりきたりしてる
今回ノーパソ買い替えるにあたっていろいろ考えた結果Win機にした
モノがいいのはわかってるが今ノーパソの用途はブラウザくらいしかない
動画編集とか音楽作成とかしなくなったからMacBook Airは明らかなオーバースペックなんである
結局8万円くらいのDellにした
現物がとどいて初期設定を終えた
今までとほぼ同じような使い方ができている
でもできることやることは変わらないのであとは慣れの問題だと思う
ただWin11はなんかマイクロソフトに首根っこつかまれてるような感触だ
最初にChrome入れようと思ってMicrosoft Storeから落とそうとしたら出てこなかった
EdgeからBing検索したら偽サイトが筆頭にでてきて危うく騙されそうになった
そこまで意地悪しなくてもいいじゃんって思った
「簡単に儲かる」とか「すぐにお金増える」とか、そないな話は怪しいこと多いわ。
「今すぐ対応せなあかん!」とか急かしてくる電話は、ほぼ詐欺や。
知らん番号からかかってきたら、一旦落ち着いてスルーするか、かけ直さんとええで。
「ちょっとだけ情報くれたら、ええもんあげる」とか、そんな甘い言葉に乗ったらあかん!
住所とかクレジットカード情報は、絶対に知らんサイトには入力せんことや。
メールやSNSで「当選しました!」とか「アカウント凍結しました」なんて来たら、焦らんとまずは公式のページから確認してみぃ。
独りで悩むと冷静な判断できへんことあるから、誰かに話してみたら、案外すぐに「あ、これ詐欺やな」って気づくもんや。
広告がひどい、Youtubeは野放し状態とかみんなグーグルに関して思うことはあると思うけど、自分が思うのはグーグルの唯一無二であったはずの検索精度。これがここ3、4年でものすごく落ちてきてる気がする。
自分はあるメーカーのナイフ(一本数十万ぐらい)をコレクターしてるんだけど、それの偽サイトがここ数年で異常に増えてる。
国内ではそのナイフはヤフオク、メルカリ、あと3,4軒の刃物のショップぐらいしか基本的に流通しない。さらに販売時のコレクター間のマナー(?)としてシリアルナンバーを写すというのがある。なのであっちで売られたのがこっちで売られて・・・みたいなのが追ってるとわかるんだけど、これらで販売された画像と文章をそのままパクって使い回して自社サイトで掲載してるサイトが検索結果の1ページ目にめちゃくちゃ表示される。今でも同じシリアルナンバーのナイフが三件の偽サイトで販売されている。
なんならきちんと商売してる販売サイトよりも偽サイトの方が上位にくるし、もうすごいことになってる。
ある程度このナイフ界のルールを知ってないと普通に騙されるレベルだ。
スパムメールに騙されて、スパム文面(下記参照)の「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」のURLリンクを踏んでしまいました。
だけど、それは謂わばスパム側による囮の様なURLで、三井住友銀行のドメインだったので、幸運にも今回は難を逃れることができました。
今回のスパム側の主な目的は、メール受診者(スパム被害者)がHTML形式でメールを確認して、また、メールの内容を信頼して「ご確認」のURLリンク「ttps://www.shuhmsドットcom」(詐欺サイト)をクリックすることだと思われます。
私は普段から平文形式でメールを確認するので、(実際の被害を受けるという意味では)今回難を逃れたけど、普段からHTML形式でメールを確認していたり、情報弱者や高齢者だったら騙されやすいだろうと感じます。
ポイントは、「ご確認」のリンク先が「ttps://www.shuhmsドットcom」になっていた他、「振込入金の詳細については、SMBCダイレクトでご確認いただけます。」の次の行のURLの/kojin以下の文字列がオリジナルと違うことです。
それ以外、題名、送信元、メール内容についてオリジナルに擬態しています。
普段からスパムメールに注意していますが、スパムの擬態が高度化して、情報弱者が騙されやするなる閾値を超えたと感じたので、警鐘の意味を込めて書いておきます。
【スパムメール】
-------------------------------------------------------------------------
Subject: 【三井住友銀行】振込入金失敗のお知らせ
Date: Thu, 9 Mar 2023 **:**:** +0800
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
-------------------------------------------------------------------------
-------------------------------------------------------------------------
Date: Sat, 25 Feb 2023 **:**:** +0900
From: 三井住友銀行 <SMBC_service@dn.smbc.co.jp>
Reply-To: SMBC.Auto.reply@ar.smbc.co.jp
-------------------------------------------------------------------------
-------------------------------------------------------------------------
三井住友銀行より、ご指定口座への振込入金失敗についてお知らせします。
振込入金の詳細については、SMBCダイレクトでご確認いただけます。
ttps://www.smbc.co.jp/kojin/app/smbcapp.html?aff=dirct_mlODM1902001(←kojin以下の文字列がオリジナルと違う)
―――――――――――――――――――――
※振込依頼人から振込の「取消」「変更」「組戻」があった場合等、お知らせした明細と実際の手続が異なる場合があ
ります。
※本メールは、お客さまお届けのメールアドレスへお送りしています(本メールの再送依頼は受け付けておりません)
。
偽のメール等で誘導された当行を装う偽サイトに、お客さまの口座情報やワンタイムパスワード等を入力すると、不正
> ttps://www.smbc.co.jp/kojin/special/stop_phishing_crime/
「三井住友銀行」名でお送りするメールには、携帯キャリアのメールアドレス宛を除き全て電子署名を付けています。
> ttps://www.smbc.co.jp/security/smime/
閲覧しているサイトが当行の正当なサイトかどうかを、電子証明書により確認いただけます。
> ttps://qa.smbc.co.jp/faq/show/297?site_domain=default
本メールに対するメールでのご返信・お問い合わせはお受けしておりません。メールの内容に身に覚えがない場合や、
サービス等についてくわしく知りたい場合は、当行ホームページをご覧いただくか、以下より電話番号を確認の上、お
問い合わせください。
> ttps://www.smbc.co.jp/contact_list.html
> ttps://direct.smbc.co.jp/aib/aibgsjsw5001.jsp?sc=081
-----------------------------------------------------------------------
-------------------------------------------------------------------------
定期的に迷惑メールが来るので、フィッシング詐欺に引っかからない自信はある。
まあ、ほとんどの人はそう思いながら詐欺に引っかかっている人が一定数いるのが現実だけど。
そんなバハマ……バカなと思うかもしれない(私も思っている)が、ネット上では個人情報だとかクレカ情報を入力してしまった、という体験談はちらほら見かける。
こういう書き出しだとこれから私が詐欺にあった内容を書きそうになるけど、実際はその逆で適当な情報を入力して遊んでみようとの試みである。
迷惑メールの内容を端的に説明するとAmazonを騙って「あなたではない他人が注文したので見覚えが無ければキャンセルしてください。」という感じ。
迷惑メールを見分ける方法はググれば山のようにあるので省略するが、簡単に見分けられる程度の内容だった。
不用意に迷惑メールの「注文をキャンセル」とここをクリックしてくださいと言わんばかりの部分を馬鹿正直にクリックすると本物そっくりのログインページが表示された。
面白いことにパスワードの入力部分が全角文字の入力に対応しており、とりあえず「天安門事件」と入力しておいた。
こういう詐欺は中国系が多い(偏見)ので、居酒屋でとりあえずビールを注文する感覚で天安門事件と入力するのである。(台湾や香港問題も有効と聞くがその辺りは有識者に問いたい)
当然ながら、本物のAmazonのサイトであればメアドやパスワードは全角を対応している訳がないし、適当な情報を入力したらログインできずに再入力を促されるが、偽サイトなので無事に(?)ログインできた。
「セキュリティ上の観点から本人確認のために個人情報を入力してください」と、それっぽい理由で名前や住所などの個人情報を入力させてくるが、明らかな偽サイトで入力する意味がないのは明白なので偽情報を入力する。
こういう時に環境依存文字だとか特殊なことをして相手の個人情報のデータベースを滅茶苦茶にできれば良いのだが、私にはそんな知識も技術力もないので物量作戦として大量の文字列を入力する暴挙に出た。
郵便番号のように字数が決まっているものについては入力制限があったが、住所については上限が無かったのでコピペしまくって無意味な文字を入力した。
おそらく数メガバイト分の文字を入力できたと思うが、ブラウザの方が若干だが重くなり、文字が表示されるのに時間がかかるようになってきたので、次のページへ移動した。
おそらくこれが本丸だと思うが適当な情報を入力して遊ぶので、当然のように存在しない情報を適当に打ち、一通り入力が完了して送信したら403エラー、つまりアク禁で見れなくなったのでゲームオーバー。
偽情報が原因なのか、元からエラーが出る仕様なのか分からないが、どちらにしても不用意に偽サイトにアクセスしない方が良いと思いました。(子供みたいな感想文)
因みにログイン後のURLでIPアドレスとアクセス日時が表示されたので、恐らく一部のデータがぶっこ抜かれた可能性がある。
増田でURL添付されてる書き込みがあるとそのトラバで「リンクなんか踏めるかよ」みたいな書き込みを見かけることがある。
ウイルスやブラクラを恐がるのは分かるけど、脊髄反射的に踏まないって決め込むのはどうかと思う。
5chやimgurみたいな大手サイトがウイルスに汚染されてると考えるのは杞憂に過ぎる。
正規サイトに見せかけた偽サイトの可能性を警戒しているのだろうか。
確かにディレクトリの左側が一致。いや偽サイト側でディレクトリ構造ごと模倣されてしまえば正規サイト本当に全く同じURLで偽サイトに飛ばされることもありえるか。
DNSキャッシュポイズニングは5chやツイッターの個別ツイートみたいに半動的に新しく生成され続けるURLには無力だと書こうとした。
というわけでトップレベルドメイン及びそれより左側が正規サイトのものと完全に一致していて右側もそれっぽい文字列を有していたとしても油断はできない。
でもまあ証拠写真とかimgurであげて増田に添付するって場合もあるだろうし証拠見せたいのに即座に「俺はリンク踏まない主義だから」ってなる人はやっぱり困るよね。
表記の件について意見募集が開始された (https://www.digital.go.jp/posts/ckWVVAya) というので仕様(https://cio.go.jp/sites/default/files/uploads/documents/digital/20210917_spec_01.pdf)を見たら、なんか国のお墨付きの個人情報の名簿登録補助ツールみたいな上に、証明書としては全然機能不足にしか見えず、がっかりした。
批判だけでもなんなので、自分ならこういうの作るという意見書出しといた。
などの理由から、有益とは思えないし、電子証明書としての信憑性も非常に疑わしいシステムしかできないように思われる。
この仕組みを活用したい立場としては、「接種者の個人情報」ではなく、「二次元コードを提示した人が接種済みであること」が確認できればよいので、
2. 申請した個人(ないし端末)毎に、APIサーバでユニークなIDを発行する
3. システムの接種確認用APIに2.のIDを付けたURLをQRコードで表示する(IDを種として、ワンタイム識別子をアプリとサーバで計算するなどの設計も考えられる)
4. APIにアクセスすると、接種証明情報として、最終接種回数と接種日のみを返す
2. QRコードのURLが偽サイトではないことを検証する(HTTPSのSSL証明書確認ぐらいでも十分で、政府が発行する公式アプリとすることで信憑性を担保する)
もっと踏み込むと、国として、接種証明として表示した国民の個人情報が、民間企業において確度の非常に高い顧客名簿になりかねない、という点については、どのように考えているのかはなはだ不安を感じさせる仕様と言わざるを得ない。
(ここまで)
いま読み返していて単純に「IDを種」にするだけではダメなことに気づいた。申請時にワンタイムトークン計算用の秘密の種を共有しておいて、個人(端末)の識別用IDとワンタイムトークンをAPIに渡すようにする、とかが必要だった。
国民の個人情報を、わざわざマイナンバーカード使って本人性を保証した上で自動読み取り可能な形でスマホの画面に表示するだけのアプリって、どこぞのeKYCの対極ネタとしては面白い(面白くない)。
人生でネットにはだいぶ長い間触れてきて、よくある迷惑メールのフィッシング詐欺とか過剰広告とかに一度も引っかかったことなかったのに、成人超えてアホみたいな詐欺に引っかかってしまった
内容は通販の偽サイトで個人情報を登録・クレジットカードで購入してしまったということなんだけど、戒めとして経緯を細かく残しておく
趣味で集めているものでどうしても欲しいもの(定価は2000円程度で10年以上前に発売されたもの)があって、いつもそういう物を探す時はAmazonや楽天などの大手通販サイト→無ければメルカリやヤフオクなどで探して購入するんだけど、中古で定価のものがなく3~4倍の値段だった。
出品者からすぐ購入するのを迷い、検索を続けていると、ある一件の通販サイトが引っかかった。
その通販サイトはまさに私が探していたものがプレミア価格のところ半額セール中!で定価に近い値段(3500円くらい?)と表記がされていた。
また、同じページに○○県の人が購入しました、××県の人が購入しました….とまるで何回も取引履歴が有るかのような内容も記されていた。
定価に近いし、何回も取引されてるし在庫もあるならラッキー!となんの疑いもなしに購入してしまった。
カートに商品を入れ、住所や氏名、電話番号などの個人情報と支払いのクレカ情報を入力し購入完了したのだが、この時点で怪しい点があった。
いつもならパスワードを入力する画面にIDも表示されるが、IDが表示されなかった。
日本語で正規のメールも届いたが、最初に文字化けのメールが届いた。
詐欺だと気づいたのは購入した翌日だった。
メールにどのぐらいで届くかがなかったので、通販のマイページで確認しようとメールからサイトにアクセスすると、ログインができないのだ。なぜログインできないかというと、購入時の入力画面にパスワードを入力する部分がなく、パスワードを登録していなかったからである。登録完了メールまで届いたのにおかしいな、と昨日思った不審な点も思いだして通販サイトを検索すると、検索には引っ掛からず詐欺サイトの疑いという記事がヒットした。
急いでクレカを止めたし、購入時点で商品金額の引き落としはされていなかったので金額被害は0円だが、まさかこんな詐欺に騙されるなんて!!!!!!してやられた!!!!!!というショックを受けた。
住所とかの個人情報がとられたのはイタイな〜って思ったがあれから1週間経つけど変なメールも電話も何も無いので、クレカ情報を抜き取ることが目的なんだと思う。
あんなコアなもので詐欺を行うのも謎だが、お前らもよく知らない通販サイトで買い物する時は気をつけて欲しい。お問い合わせがメールのみでコロコロメールアドレスを変えるのが特徴的らしい。ここじゃないとその値段で購入できないってのも罠だ。
