Yubikey
- blog.iotaker.jp
- https://resources.yubico.com/53ZDUYE6/as/94h6b9x6r5q52zqsm643/Yubico_whitepaper_top_5_mobile_authentication_misconceptions?mkt_tok=NDg2LU5IUi00NjMAAAGCEtquUbrF7byelJDXQOxhoP3svd_TNSIdQAI2X9xxkDKhvnv3Hpb1f_92G7XQjWAiBwAVdWDzTuFkyZYoc0duiYAVCZeyuUpCsim30ZGTIpEsresources.yubico.com
- security.googleblog.com
- security.googleblog.com
- www.blog.google
- https://storage.googleapis.com/pub-tools-public-publication-data/pdf/bdc662fba6ebc6b784e2b0a22536e942a16221af.pdfstorage.googleapis.com
- https://storage.googleapis.com/pub-tools-public-publication-data/pdf/ab2bedf04f6d4ff60c59b502809c2f151373de54.pdfstorage.googleapis.com
- https://storage.googleapis.com/pub-tools-public-publication-data/pdf/8ba3e711f575ba43c49fe92e27fcf74d3de411b3.pdfstorage.googleapis.com
クレジットカードのプリペイドカード
クレジットカードのプリペイドカードは何が良いのか(どこの信販会社のプリカが良いか)選定中
TL;DR(整備中)
- ANA JCBプリペイドカード|クレジットカードなら、JCBカード
- エポスVisaプリペイドカード|クレジットカードはエポスカード
- VISA
- カード券面の色々なグラフィックを選びたいなら良さそうだけど、EPOSポイント利用者でなければ選ぶ理由がない。
- dカード プリペイド|クレジットカードの三井住友VISAカード
- Master
- dアカウントが必要。dポイントをプリカにチャージ使用とするとドコモ回線契約が必要。dポイント経済圏民以外は選ぶ理由がない。
- 本人限定受取郵便での本人確認が必要。
- Vプリカ|Vプリカってなに?|ネット専用Visaプリペイドカード
- VISA
- LIFEカード以外でのチャージ(コンビニ購入orネット購入)では、1回200〜390円のチャージ手数料が掛かる。有効期限1年
- 使い捨て以外のメリットが無い。上限額も低い。
- SMBCカード系
- かぞくのおさいふ|クレジットカードの三井住友VISAカード
- VISA
- 満6歳以上で契約出来て、家族で残高を共有したり別管理したり出来る。
- 本カード(1枚)+共通カード(1枚)+個別カード(9枚) まで契約出来る。
- 本人限定受取郵便での本人確認が必要。
- Vポイントとは|クレジットカードの三井住友VISAカード
- かぞくのおさいふ|クレジットカードの三井住友VISAカード
- AU PAY
- Kyash
- 楽天銀行プリペイドカード
- ソフトバンクカード
- VISA
- オリコプリペイドカード
- Master/VISA
- Visa LINE Payプリペイドカード
- VISA
今週のお題「買ってよかった2021」
今週のお題「買ってよかった2021」
万年筆
万年筆は使ったことがなく、高級なイメージしかなかったのですが 安いペンがあるのですね。
- パイロット カクノ 1,100円
- プラチナ万年筆 プレピー 330円、440円
- プラチナ万年筆 クラシックインク 2,200円
パイロット カクノ の方はペン先の微妙な弾力があって書き味が良いです。 プレピーの方が硬めですが、ペン先がカクノに比べて丸みがあるのか引っかかりが少ない。
どちらもボールペンとも鉛筆とも違うので面白いですね。
YubiKey 5C NFC、Security Key NFC by Yubico
Googleが 高度な保護機能プログラムを提供しだしたので使ってみることにしました 。
スマートフォンをキーにすれば利用出来るのですが、スマートフォンが使えなくなると詰みになるため、オルタナティブとしてハードウェアキーを試すことにしました。
Yubikey に対応しているサービス https://www.yubico.com/why-yubico/for-individuals/
- 新製品も出ていました。
電動昇降デスク
在宅勤務が長らく継続していて、腰や膝が痛くなってきた。これからも続きそうなので3年前から欲しかったスタンディングデスクをとうとう買ってしまった。
コロナで自宅のデスクを充実させるのが流行っているようで、FLEXISPOT が人気というか定番となっているようですが、実物を確かめたかったのと脚と天板を組み合わせて選ぶのも面倒そうだったので、実物を確認出来てそう高くもないということで IKEA にしました。
しかし、IKEA の組み立て家具の組み立ては初めての人には高度過ぎたので、止めておけば良かったと後悔した。組み立てるには力を入れやすい工具を新たに買ったし、家具組み立てに必須なラバーハンマーも買う必要があった。
このスタンディングデスクには満足しているけど、もう二度とIKEAの組み立て家具は買わないと思った。
ディスプレイアーム(エルゴトロン)、ディスプレイライト
天板の高さを調整出来るのに合わせて、モニター位置も調整出来て天板も広く使えるようにしたくなりました。 ちょうど良く、Amazonなんとかセールもしていたので、エルゴトロン ディスプレイアームを買ってみました。
これは言わずもがなイイですね。
机にはディスプレイアームとノートPCアームとマイクアームを付けているので、デスクランプまで天板に付けるのはもうお腹いっぱいなので、流行のディスプレイライトを付けてみることにしました。
これは便利なものですね、特にワイヤレスリモコンの使い勝手が良かったです。
閃光のハサウェイ、虐殺器官
閃光のハサウェイを劇場で観ました。画面が暗すぎて何が起きていたか分からなかったのでもう一度観に行こうかと思っていたら、Netflixで配信されるようになりました。見直してみると、初見では意味が分からなかったセリフや、シーンの状況が分かるようになりました。
ハサウェイは、マフティのメンバーから厚く守られているのだなとセリフと演出の節々に出ている。各作戦立案はハサウェイが深く関わっているにも関わらず、作戦参謀による作戦だという扱いになっている。
どうも演出の細部が気になったので、村瀬修功監督作品の虐殺器官を観てみました。これも面白かったですね。こっちは台詞と設定が多いので分かりやすいのですが、細かいですね。
OLIGHT EDCライト
https://www.olightstore.jp/olight-baton3-handy-flashlight-kit.htmlwww.olightstore.jp
ホンダマンスリーオーナー
rsyslog でコンソールに打ち出されるメッセージを消すのに手間取った話
今まで emerg (ヤバいよヤバいよ)を受け取ったことがなかった...
とある ASUS の WiFiメッシュルーターを設定中に起きた出来事です。
Ubuntu 20.04 LTS にインストールした rsyslog で ASUSルーターからの syslog を受けていると、SSHログインしたターミナルで鬱陶しいビープが定期的に発生する。なんなら、ビープではなく wall
的にターミナル上に強制的にメッセージが出力される。
この現象がなんなのか、(syslogで受け取っているメッセージである以外に)しばらく分からず放置していた。が、vimを開いていても割り込んでくるのは流石に迷惑なので、どうしたら無効に出来るものかと調べてみました。
wall コマンドって有りましたね、懐かし...
WALL(1) Linux User's Manual WALL(1) NAME wall -- send a message to everybody's terminal. SYNOPSIS wall [-n] [ message ] DESCRIPTION Wall sends a message to everybody logged in with their mesg(1) per‐ mission set to yes. The message can be given as an argument to wall, or it can be sent to wall's standard input. When using the standard input from a terminal, the message should be terminated with the EOF key (usually Control-D). The length of the message is limited to 20 lines. For every invo‐ cation of wall a notification will be written to syslog, with facility LOG_USER and level LOG_INFO. OPTIONS -n Suppresses the normal banner printed by wall, changing it to "Remote broadcast message". This option is only available for root if wall is installed set-group-id, and is used by rpc.walld(8). ENVIRONMENT Wall ignores the TZ variable - the time printed in the banner is based on the system's local time. SEE ALSO mesg(1), rpc.rwalld(8). AUTHOR Miquel van Smoorenburg, miquels@cistron.nl 15 April 2003 WALL(1)
同じホストにログイン中の皆さまに一斉にメッセージを送り付けることが出来るコマンド。 主には、管理者がホストコンピュータをシャットダウンする時に、ログインしている利用者を追い出すために「出ていけ」メッセージをターミナルに割り込ませるのだ。
ビープ音
bash でのビープ音を制御するのは bell-style (via. Visual Bell mini-Howto )
set bell-style audible|visible|none
rsyslog で syslog 受けてから起きているのだが、どこで wall 叩いているのか?
mseg(1) と set bell-style none
を無効化したら大人しくなると思ったがダメだったので、発生源をなんとかするしかなさそうだ...。
rsyslog の設定ファイルは /etc/rsyslog.conf なので読んでみたが、どうもそれっぽいものがない...。RH系サーバーしか触ったことがないから Ubuntu はヨクワカラナイ...。
$ cat /etc/rsyslog.conf | grep -Ev '^$|^#' module(load="imuxsock") # provides support for local system logging module(load="imklog" permitnonkernelfacility="on") $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $RepeatedMsgReduction on $FileOwner syslog $FileGroup adm $FileCreateMode 0640 $DirCreateMode 0755 $Umask 0022 $PrivDropToUser syslog $PrivDropToGroup syslog $WorkDirectory /var/spool/rsyslog $IncludeConfig /etc/rsyslog.d/*.conf
コンソール、tty に割り込むような出力は定義されていないように見えるんだよなぁ...。分からんから CentOS 7 の rsyslog.conf と比べてみると...。趣がだいぶ違うな...。
$ cat /etc/rsyslog.conf | grep -Ev '^#|^$' $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal $WorkDirectory /var/lib/rsyslog $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $IncludeConfig /etc/rsyslog.d/*.conf $OmitLocalLogging on $IMJournalStateFile imjournal.state *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* -/var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* uucp,news.crit /var/log/spooler local7.* /var/log/boot.log
CentOS 7 には *.emerg :omusrmsg:*
が有るので、mesg と bell がターミナルに割り込むのは分かるのだが。。。今まで食らったことがなかったな...。
さて、Ubuntu ではどこにあるのか、チョット奥まったところで見つけた...。
$ cat /etc/rsyslog.d/50-default.conf | grep -Ev '^$|^#' auth,authpriv.* /var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog kern.* -/var/log/kern.log mail.* -/var/log/mail.log mail.err /var/log/mail.err *.emerg :omusrmsg:*
:omusrmsg:*
が Output Module User Message だ。これは要らんのでコメントアウトしてしまえば、鬱陶しさは消える。
そう言えば、いままでこんな目に遭ったことがなかった。 *.emerg
とは何なのだろうか?
ツーかさ、「システムダウンの危機」ってどない? ASUS のルーターは何故気軽に emerg を出すのだろうか?勘弁してくれ。
そう言えば、syslog って古い書式と新しい(新しいか?)書式がいつまでも混在していますね。。。なんでですかね? via. よくあるご質問(サポートFAQ)・詳細: よくあるご質問(サポートFAQ)・検索一覧 | NEC
フィッシング詐欺等の被害に遭わないために(コンシューマー編)
フィッシングメールを受け取らない
- ISPメールボックスを使わない
- docomo や au、softbank のキャリアメールを使わない
- 強力なSPAMフィルター、メールサンドボックスに頼り切る
- Chrome、Firefox に頼り切る
セキュリティ対策にリソースを使っている大手サービスを利用する。最も情報が集まっているのは、ブラウザ開発をしている組織である。まぁ、ありていに言えば Gmail に頼ってしまえよ!!という身も蓋もない主張。
他人から送り付けられたリンクを開かない
- SPAM、フィッシングに限らず広告等も含めて、知らん人から届いたURLをそのまま開かない。
- パスワードマネージャーに保存したURLから開く。
- 怪しいメール、すなわち初めての URL、ドメインはレピュテーションサイトで調査する。
- 謎のフォームには入力しない。
- 知らん人から渡されたフォームは偽物だと思え。
上記のことは、要するに「裏取りしろ!」ということである。
金融系サイトは予めアプリを入れておく
- 銀行
- クレジットカード
- 電子決済
- ショッピング
サービスにユーザー登録時に、公式アプリをインストールしておく。 PCではパスワードマネージャーに登録しておく。
正しいサイトだけを使う。
- パスワードマネージャーを使うことで、不要なサイト(騙しサイト)で入力をしない。
情報を入力しない
- 取られて困る情報は(なるべく)入力しない。
- (信頼出来ない)ネットでは、プリペイドカードを使う。
盗られた時に、実生活で困るものは影響範囲を最小に絞って日常生活をすると良いかもね。
(2022/02/02 追加) 絶対死守するアカウントを決める
絶対に守りたい、盗られたくないアカウントを決めておくことで、守りに掛けても良いコストを想像する。
そして、ここで決めた 絶対死守アカウントは、メールやSMSで受け取ったリンクを開いて入力することは絶対にしない。 絶対死守アカウントにログインするときには、必ず自分のブックマークやパスワード管理ツールからログインすると決める。
- スマホやパソコンなどの自分にとって大事なデバイスのアカウント
- Google アカウント
- Apple ID
- Microsoft アカウント
- SNSアカウント、ネット上の自分の人格
- 銀行、クレジットカード、電子マネーなどのアカウント
- 犯罪者が狙っているのは換金できる情報なので、普段は扱う頻度が少ないかもしれないがリスクは非常に高い。その分、サービス提供している事業者はセキュリティに配慮した機能(ログインお知らせ、決済お知らせ、2要素認証などなど)を提供している。すべての機能を活用すること。
- 認証情報を管理するアカウント
- すなわちパスワード管理マネージャーのアカウント
さらに意識高い系になる
以前の日記に書いたように、ハードキー(USB/NFCキー)で FIDO2/WebAuthn に対応した認証を使えるようになる。 kt-nk.hatenadiary.jp
FIDO2認証にすれば、フィッシングによるワンタイムパスワード破りにも対抗出来るようになる。 FIDO2/WebAuthn はスマホをキーにすることも出来るので USB/NFCキーをわざわざ買わなくても使えるようにはなるのだが、鍵となるハードウェアを喪失してしまうと自分のアカウントを取り戻すのが困難にもなるので、USB/NFCキーとスマホを併用することで鍵の喪失に備える事が出来ると思う。 www.nikkei.com
その他、各事業者からのフィッシング詐欺対策のアナウンス
「正しく怖がる フィッシング詐欺 オーム社」を読んでみた
正しく怖がるフィッシング詐欺 | Ohmsha
- 目次
TL;DR
この本は、コンシューマー(一般の個人利用者)を対象としたフィッシング詐欺対策を啓もうする本です。 非常に丁寧で最新の情勢を反映していると思いました。。フィッシング詐欺の概要を読むには良い本だと思います。
ただ...
- 内容を考えると 200ページ以上あるのが...。(ちょっと丁寧すぎ?)
- 2,420円(税込)は高い...。
- 概要は分かったが、対策についてが物足りない...
フィッシング詐欺が今後より課題となるのは、コンシューマーからエンタープライズに移っていくだろう。その点でも、対策については具体性が必要になるのかなと、思いました。
- 本書で紹介されているフィッシング詐欺対策
- 自分が利用しているウェブ(インターネット)サービスは、予めブラウザのブックマークに登録して日常的に使おう。
- 銀行、クレカのサービスは、予め公式アプリをインストールして日常的に使おう。
- 2要素認証、2段階認証を設定しておこう。
- 複数のメールアドレスを使い分けよう。
- 登録するサービス毎に例えば、「重要なサービスのメールアドレス」、「ゲーム娯楽用のメールアドレス」などと分けて使用する、とか。
- 詐欺事例ニュースをチェックする。
- 詐欺は日頃の隙を狙うもの、「疑う」という姿勢が大事かもしれませんよ。
発見とテイクダウンを目的とする人はこちらをご覧下さい。 qiita.com
フィッシング詐欺と私 〜正直、他人事だよね〜
フィッシング詐欺は、割りと身近にある迷惑行為というか犯罪で、主には迷惑メールという形で顕在している。興味本位で迷惑メールフォルダを覗いてみると、自動的に振り分けられたSPAMの中に広告メールとともにメールプロバイダーによって「詐欺メール」と判定されたメールが入っている。
私は Gmail を使用しているので、自分に届くメールは総べてGoogleによって検閲されている。Googleのメールスキャンによって詐欺メール(fraud mail)はより分けられているため、ほぼ100%と言って良いくらい詐欺メールをそのまま受け取る機会が無くなっている。 (データを持っているわけでは無いので不確かだけれど、2007年から Gmail for Your Domain で使っているが、Adobe IDの漏えい(2013年秋)の頃からも詐欺メールが受信フォルダに入っていた記憶がない...、ただ単に忘却しているのかもしれないが...)
要するに、「迷惑メールフォルダをわざわざ覗けば詐欺メールがあるが、詐欺メールと知らずにリンクをクリックする」ような事は先ず無いのであった。 多分、オレオレ詐欺電話と同じような感覚なのだと思う。即ち、「私に詐欺電話が掛かってきても受電しないから詐欺には引っかからないワ」という他人事なお気持ち。
注釈というより、ツッコミとかただのメモ書き
この手の本を読む時、私は付箋紙とペンを片手に読んでしまう。気になったことや自分の感想を書き込んでしまうのだ。小説ではやらないけれど、ビジネス本や技術書や現代社会の解説本などには、読んだ時の自分のポジションや感想を書き入れておくことで、後に読み返した時の自分の変遷も辿れる事に面白みを見出している。
- p.9 [1章 フィッシング詐欺とは]
- p.11 [1.1 偽物のメールと偽物のWebサイト]
- p.15 [1.2 増え続けるフィッシング詐欺]
- (フィッシング対策協議会のデータを引用している事を指して) フィッシング詐欺の本質は、本物と偽物の見分けが付かないことである。しかし、フィッシング対策協議会は団体としての権威性が不明なのである。
- p.17
(アメリカFBIのサイバー犯罪被害数統計の犯罪分類の紹介を指して) Vishing / Smishing / Pharming 等をフィッシング詐欺に分類ている事について、定義があるならその文書をポインターで示して欲しい。
- p.19 [1.3 フィッシング詐欺の被害金額]
- p.29 [2章 Aくんの例-引っかかるとどうなる?]
- (大雑把に分かりやすく紹介した事例を指して) フィッシング詐欺によって、認証情報を取られた後に何をされるかの解説としては分かりやすいのだが、どの程度の時間軸(詐取されて数日で被害が発生するのか?それとも数時間以内にお金を使われるのか?とか)がないと恐怖感が伝わらないかもしれない。
- p.36 [3章 インターネットの基礎知識 3.2ログインとID、パスワード]
- (「認証」と「認可」の説明に関してメモ書き)
- Authentication: 恐らく、多分、「本人」であろう...と確認して、そう認めることを『認証』と呼ぶ。
- Authorization: 認証されたユーザー、アカウントごとにアクセス制御することを『認可』と呼ぶ。
- (「認証」と「認可」の説明に関してメモ書き)
- p.39 [3.3 ドメイン、URL、IPアドレス]
- www をサブドメインと説明しておいて、「mail というホスト(またはサブドメイン)」と説明してしまうのは表記の揺らぎというか、未定義タームの使用なのでは?
- (FQDN を記載する時に "." を "[.]" と囲むことで自動リンクされることを防ぐことを指して) ここに関してを丁寧に説明すべきで
www.example.com
と書いてしまうと、表示システムによっては自動的にハイパーリンクとして出力してしまうので不用意にクリックしてしまわないために www[.]example[.]com と記載してリンク文字にしないようにしている。 - (スキームについて、「Webサイトの場合は http と https しか使いませんから」との記載を指して) 🤔
wss://
とかあるしなぁ...、言い切ってしまうのはどうもなぁ...。ここは記載を簡略にして分かり易く読み進めることを優先しているとは分かるのだが、引っかかるなぁ。
- p.47 [3.4 電子メールのしくみ]
- (メール関連プロトコルとして SMTP/POP3/IMAP を示しているのに図解がないことを指して) それぞれのプロトコルが何処で使われているかの説明が必要なのではないかと思った。 (「メールは送信時に経由したサーバ等のログを残したまま受信者に届く」との記載を指して) あくまで、SMTPで中継しているログが残っているだけである。今時分は、オープンな中継をするMTAは既に駆逐されているので、途中経路というサーバーは存在しないのではないか? Eメールは、組織やベンダーの違いを容易に跨いでメッセージのやり取りが出来るしくみである。だからこそ便利で、それが故に悪意のあるものに利用されている。
- (「マルウェアを添付したメールをばら撒いてPCを感染させる」との記載を指して) トロイ系についても「感染」と呼ぶのは不思議な感じがする。
- p.55 [3.5 SMS(ショートメール)のしくみ]
- p.56 [3.6 IDとパスワード]
- (パスワードの使い回しは危険だと指摘していることについて) イラストがちりばめられているのに実際のユーザーの共感を呼ぶような構図にした方がイイと思うのだけど...。
- この本は、一般向けの啓蒙を目的とした本であると思う。啓蒙によって被害を防ぎたいのなら、ブラウザのパスワードマネージャーや OSのキーチェーン機能を紹介するに留めるよりも、パスワード管理ツールの選び方や使い方を解説した方が良いように思うのだ。しかし、セキュリティの専門家が公にパスワード管理ツールを勧めている事例を聞かないのだよなぁ、どういう理由があるのだろうか?
- p.59 [3.6 盗まれたパスワードの確認 Have I Been Pwned]
- 著名なセキュリティ研究者とは...? コンピュータ・セキュリティのニュースでは「研究者」と書かれるケースが多い。セキュリティ・エンジニアの肩書きとして「リサーチャー」は、「アナリスト」ではないし「エンジニア」でもない事も多い。セキュリティ関連ニュースをスクラップする人もリサーチャーと呼ばれたりもする...。(研究者というと大学などで研究しているひとをイメージしてしまう)
- したがって、
Have I Been Pwned
に自分のIDを入力するのは中々ワイルドだなと思って掛からないといけないのではないか?
- p.63 [3.6 2要素認証]
- (2要素認証は不正ログインに対しては強力な対抗策であるという記述を指して) SMSやOTPアプリによるワンタイムパスワードも突破されるし、実際にワンタイムパスワード破りを称する闇サービスが存在している。https://www.nikkei.com/article/DGXZQOUC2660D0W1A021C2000000/:title8
- p.64 [4章 フィッシングメール]
- p.71 [4.1 こんなメールがやってくる]
- p.81 [4.2 心理的なだましのテクニック]
- 詐欺師の話を聞いたらその時点でアウトであるように、フィッシングメールを読んだら騙される人は騙されてしまう。注意喚起が通じる人に説明するよりも、偽メールを読まないで済む方法を教える方が役に立つと思うのだ...。
- p.82 [5章 フィッシングSMS]
- p.91 [5.2 本物っぽく見せるワザ]
- p.95 [5.4 SMSを送るマルウェア]
- 技術を紹介するのではなく、被害対策を啓蒙するための本であるようだ。だとすると、読者が本当に読んでくれるのか疑問ですよね。どうやって通信制限しているかなどを解説する方が良い気がするのですよ。(本書の後の方では、詳細を解説しているページがある)
- p.102 [5.4 SMSを送るマルウェア]
- 野良アプリ、サイドローディング。公式ストア(Google Play)以外からアプリをインストールすること。
- p.163 [7章 フィッシングサイトの見分け方 7.3 メールの差出人では見分けられない]
法令
- 現行法
- オリジナル
フィッシング対策のガイドラインについて
フィッシング対策ガイドライン 2021年度版 フィッシング対策協議会2021年6月1日 を読んでみました。
概要
https://www.antiphishing.jp/news/techwg_openday2020_online_TOPPANFORMS.pdf
- フィッシング対策協議会 Council of Anti-Phishing Japan
- 目的: フィッシングに関する情報収集・提供、注意喚起等の活動を中心とした対策の促進
- 会長: 岡村久道 岡村久道 (@Lawcojp) | Twitter
- 運営委員
- トッパン・フォームズ / Japan Digital Degisn / ソースネクスト / リクルート / JPRS / セブン銀行 / カリウス / 日立システムズ / アルプスシステムインテグレーション / NTTコミュニケーションズ / トレンドマイクロ / bitFlyer / ACSiON / ラック
- 活動
- フィッシングに関する情報収集・提供
- フィッシングの動向分析
- 技術・制度的対応の検討
- 海外機関との連携: 米国APWG 等
- フィッシング対策協議会 Council of Anti-Phishing Japan | フィッシング対策協議会について | WG 活動
- メンバー: https://member.antiphishing.jp/about_ap/member.html
- コンテンツ
- フィッシング対策協議会 Council of Anti-Phishing Japan | マンガでわかるフィッシング詐欺対策 5 ヶ条
- ソフトウェアはアップデートをして最新の状態を保つ
- 不審なメールに注意しましょう
- メール内のリンクは見た目と実際のアドレスが異なります
- 不審メールや不審サイトは「フィッシング対策協議会 info@antiphoshing.jp」に報告して下さい
- 詐欺や窃盗に遭ったときに備えて、連絡先をリストアップしておく
- サービス事業者(銀行やクレジットカード会社など)
- 警察
- フィッシング対策協議会
- フィッシング対策協議会 Council of Anti-Phishing Japan | マンガでわかるフィッシング詐欺対策 5 ヶ条
利用者向けフィッシング詐欺対策ガイドライン2021年度版
先ずは「利用者向け」要するにコンシューマ向けのガイドラインを読んでみました。
- 目次
- フィッシングとは
- フィッシング対策3つの心得
- いますぐできるフィッシング対策
- フィッシング対策協議会と本ガイドラインの位置づけ
- 付録
- フィッシング事例
- パスワードの考え方(「フィッシングレポート2015」より)
1. フィッシングとは
- 2012年3月に不正アクセス行為の禁止等に関する法律が改正され、2012年5月に法改正が施行されたことにより、フィッシング詐欺行為が処罰対象となりました。
- 不正アクセス罪
- 不正取得罪
- 不正助長罪
- 不正保管罪
- 不正入力要求罪 << 主にコレに当たる
- 類型: サイト構築型
- 類型: メール送信型
フィッシングとは Phishing であり魚釣りではありません。
- フィッシング(Phishing) ≠ 魚釣り(Fishing)
- 様々なサービスの利用者(消費者)のパスワードを詐取(だまし取る)することを狙いとしています。
2. フィッシング対策3つの心得
- STOP 立ち止まって理解する
- THINK 何が起こるか考える
- CONNECT 安心してインターネットを楽しむ
3. いますぐできるフィッシング対策
- 正しいURLにアクセスする
- オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
- バナー広告や検索結果などのリンクから直接パスワード等の入力を求められてもそこでは入力しないで、自分で登録したブックマークからログインなどを経てアクセスする等の工夫をする。
- 電子メールのリンクはクリックしない。
- 本物のウェブサイトであるかを確認する。
- ドメイン名が正しいか? / ウェブサイトを運営している組織は正しいか? / アドレスバーの鍵マークをクリックして証明書を確認する
- (感想)↑コレを全部確認しても本物か偽物かなんてワカランだろ!? 本物のサイトでもサテライトサイトやプロモーションサイトは .com とか .io とか .tv とかワケワカランし。証明書も Let's などを使うのが当たり前になっていて、企業サイトが総べて EV を使っているとは限らない!!
- モバイル端末では、URLが総べて表示されないので ドメイン をみて確認する。
- (感想)↑無理やろ、マジ無理やろ、アホちゃうか、お前は区別出来るんか?
- オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
- なりすましメールに注意する
- パソコンやモバイル端末を安全に保ちましょう
- ソフトウェアを最新の状態にする
- パスワードのしっかりとした管理 (後段の フィッシングレポート2015 で触れるらしい)
- サービス事業者のセキュリティ機能を活用する
- ワンタイムパスワード
- アプリ生体認証
- メール認証、SMS認証
- 利用状況メール通知(ログイン通知や決済通知など)
- ソフトウェアキーボード << (感想)流石に嘘やろ
- ウイルス対策ソフト <<(感想)🤔確かにURLフィルター機能が付いているAVもあるな...
- フィッシングサイト検知ソフト << (感想)↑のURLフィルターのレピュテーション機能やな...
- 正しいアプリを使う
- Google Play か App Store 以外の野良アプリをインストールしない(サイドローディングしない)。
4. フィッシング対策協議会と本ガイドラインの位置づけ
フィッシング対策協議会は、2005 年 4 月に、フィッシング詐欺をはじめとするオンライン犯罪の増加を予見し、関係者が情報交換を行い、また被害況に応じた対策を推進するという目的で発足いたしました。
- 関係者が誰なのか?
- 設置者は誰なのか?
- 誰が権威を与えているのか?
謎の団体なんだけど...、どうしたら「フィッシング対策協議会」の素性が分かるのだろうか?
5. 付録
- フィッシング事例
- ショッピングサイトを騙る事例
- 銀行を騙る事例
- クレジットカードを騙る事例
- SNSを騙る事例
- オンラインゲームを騙る事例
- パスワードの考え方(「フィッシングレポート2015」より)
- 情報セキュリティ大学院大学 内田勝也 名誉教授のコラムを紹介している。
- パスワード管理ツール
- 手書きメモ、手書きノート
- 認証サービスの利用 <<(感想)組織のシステム管理者による一元化された認証管理サービスは、個人利用者向けではないですね。
フィッシング対策ガイドライン2021年度版
1. はじめに
- 想定読者と目的
- 対象:
- フィッシングによって被害を受けるウェブサイト運営者と利用者
- 目的
- フィッシングへの対策を整理して提示する。
- 対象:
- このガイドは何であって何でないか
- フィッシング対策に絞っている。
- 機密性、完全性、可用性について解説・提言はしない。
- EUCを対象として AV の話はしない。(フィッシングにつながるものは考慮する) << (感想)何を言っているかワカラナイ...
- 用語解説
- フィッシング(phishing)
- 実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATM の暗証番号、クレジットカード番号といった個人情報を詐取すること。
- フィッシャー(phishier)
- フィッシング行為は、おとりとなる電子メールを起案する者、電子メールを送信する者、フィッシングサイトを設置する者など、複数の行為者で構成される。フィッシャーとは、それら一連の行為者の全体を意味する。
- フィッシングサイト(phishing site)
- 金融機関、クレジットカード会社など、金銭に関連するアカウント情報を持つサイトを模倣して設置されたおとりサイトのこと。
- フィッシング被害
- テイクダウン(take-down)
- フィッシングサイトを閉鎖することを指す。シャットダウンまたはサイトクローズともいう。
- CSIRT(シーサート、Computer Security Incident Response Team)
- コンピューター およびコンピューター ネットワークで発生したセキュリティインシデントに関する報告を受け取り、精査した後に、適切な対応を行うことを目的に組織されたチームのことを指す。特定の企業、大学など比較的大規模な教育機関、地域あるいは国家、研究ネットワークなどのために組織される。
- SMS(Short Message Service)
- 携帯電話同士で電話番号を宛先にして短いテキスト(文章)によるメッセージを送受信するサービス。開封率の高さから企業から利用者への連絡手段として利用されている。
- 錠前マーク
- フィッシング(phishing)
2. フィッシングに関する基礎知識
- フィッシング詐欺の手口(利用者の認証情報を取得する迄)
- (フィッシャー)正規のウェブサイトを模した偽サイトを準備する。
- (フィッシャー)利用者に偽サイトのURLへ誘引するメッセージ(メール、SMS)を送り付ける。
- (利用者)メッセージにより偽サイトに誘導される。
- (利用者)正規のウェブサイトと混乱し、利用者自身の正規ウェブサイトの認証情報を入力してしまう。
- SMSを利用したフィッシング詐欺
- SMSを利用したフィッシングでも手口や構造はPCメールをターゲットとしたものと大きく異なることは無い。
- (注釈)SMSフィッシングのことを「スミッシング」と呼んでいるのも耳にする。
- (注釈)SMSでは、一般ユーザー(回線契約利用者)が送信者偽装を見抜く術を持たないことが最も大きい難問であった。国際PSTN網を経由することで発信や番号を偽ってSMS送信する事が出来る。
- Web サイト運営者においては、フィッシングに利用される可能性が低い国内直接接続のSMS 配信を利用し、事前に発信者番号をWeb サイト等で告知することが対策としてあげられる。
- SMSを利用したフィッシングでも手口や構造はPCメールをターゲットとしたものと大きく異なることは無い。
3. フィッシング対策ガイドライン重要5項目
- 利用者に送信するメールには「なりすましメール対策」を施すこと
- 複数要素認証を要求すること
- フィッシャーの狙いは、認証情報(ログインアカウント情報、クレデンシャル)である。フィッシングによって詐取した認証情報を使用して正規ユーザーになりすまして資産の移動をする事を最終目的としている。(不正送金や商品の購入)
- 詐取した認証情報だけでは、ログインアカウントを使用できない仕組みにしておく事でフィッシャーに目的を達成させない。それにより被害を抑えることになる。
- 複数要素認証の利用: ワンタイムパスワード、FIDO2/WebAuthn デバイス
- ドメインは自己ブランドと認識して管理し、利用者に周知すること
- すべてのページにサーバー証明書を導入すること
- フィッシング詐欺対応に必要な組織編制とすること
- フィッシング詐欺に関する報告窓口を設けること
4. Web サイト運営者におけるフィッシング詐欺対策
利用者保護および信頼確保の視点を持ち、Web サイト運営者においても、十分なフィッシング詐欺対策を実施すべきであろう。
本ガイドラインで提示する対策事項では、実施必要性について以下のような優先度を設定している。 * ◎:実施すべきと考えられるもの * ○:実施を推奨するもの * △:必要に応じて実施すべきもの
- 4.1〜4.4 対策
- 【要件1】 ◎:利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること。
- 【要件2】 ◎:外部送信用メールサーバーを送信ドメイン認証に対応させること
- 【要件3】 ◎:利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと
- 【要件4】 〇:Web サイト運営者が利用者に送信するメールはテキスト形式とすること
- 【要件5】 ◎:利用者に送信するSMS には国内直接接続の配信を利用すること
- 【要件6】 ◎:利用者に情報発信する手段および内容を周知すること
- 【要件7】 ◎:Web サイトの正当性に係る情報を十分に提供する画面とすること
- 【要件8】 ◎:すべてのページにサーバー証明書を導入すること
- 【要件9】 ○:認証システムが許容するポリシーを利用者に示すこと
- 【要件10】 ○:色々なチャネルで利用者に対する脅威の状況を提供する
- 【要件11】 ◎:利用者に端末を安全に保つよう、注意を促すこと
- 【要件12】 ◎:複数要素認証を要求すること
- 【要件13】 ◎:ポイントや資産の移動に限度額を設定すること
- 【要件14】 ◎:ポイントや資産の移動時に利用者に通知を行うこと
- 【要件15】 ○:利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること
- 【要件16】 ○:登録情報を変更するページへの移動には再度認証を要求すること
- 【要件17】 ○:重要情報の表示については制限を行う
- 【要件18】 ○:認証情報は厳格に管理すること(アカウントは不必要に発行しない)
- 【要件19】 ◎:アクセス履歴の表示
- 【要件20】 ◎:利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること
- 【要件21】 ◎:使用するドメイン名と用途の情報を利用者に周知すること
- 【要件22】 ◎:ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
- 【要件23】 ◎:フィッシング詐欺対応に必要な機能を備えた組織編制とすること
- 【要件24】 ◎:フィッシング詐欺に関する報告窓口を設けること
- 【要件25】 ◎:フィッシング詐欺発生時の行動計画を策定すること
- 【要件26】 ◎:フィッシング詐欺の手法および対策に関わる最新の情報を収集すること
- 【要件27】 ◎:フィッシングサイト閉鎖体制の整備をしておくこと
- 【要件28】 ○:フィッシングサイトアクセスブロック体制の整備をしておくこと
- 【要件29】 ◎:利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
- 【要件30】 ◎:フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
- 【要件31】 ○:Web サイトに対する不審なアクセスを監視すること
- 【要件32】 △:フィッシング詐欺検知に有効なサービスを活用すること
- 【要件33】 △:端末の安全性を確認すること
- 【要件34】 △:バウンスメールを監視すること
- 4.5 フィッシング詐欺被害が発生してしまった際の対策
5. 利用者におけるフィッシング詐欺対策
6. 付録
7. 検討メンバー
フィッシング対策について
テイクダウンについて
- サービスプロバイダー(フィッシングサイトを見つけ出して停止させる)
- Malicious Site Takedown & Countermeasures | Netcraft
- Appgate | Phishing Protection
- フィッシング対策サービス|株式会社ACSiON(アクシオン)
- Website Takedown Service And Phishing Protection | PhishFort
- Takedown-As-A-Service | Domain Takedown Service | ZeroFox
- Phishing Takedown < Anti-Phishing < Phishing Protection | PhishLabs
- Automated Website Takedown | Online Fraud & Phishing Prevention | Bolster
- Phishing - Digital Brand Protection – FraudWatch
- フィッシング疑惑のあるサイト報告
- Netcraft フィッシングサイト報告受付フォーム: Report Phishing, Malware and Suspicious URLs
- Googleフィッシングサイト報告受付フォーム: Report a Phishing Page
- NCSC(英国): GCHQ
- 警視庁 フィッシング110番: フィッシング110番
- Firefoxブラウザから報告する: 偽装サイトとマルウェアからの防護機能の動作 | Firefox ヘルプ
- フィッシング対策協議会 報告フォーム: フィッシング対策協議会 Council of Anti-Phishing Japan | 報告
- フィッシングサイトを停止させる手順書: Phishing: How To Take a Phishing Site Offline | Phishing Defined | Core Sentinel