Yubikey

クレジットカードのプリペイドカード

クレジットカードのプリペイドカードは何が良いのか(どこの信販会社のプリカが良いか)選定中

TL;DR(整備中)

今週のお題「買ってよかった2021」

今週のお題「買ってよかった2021」

万年筆

万年筆は使ったことがなく、高級なイメージしかなかったのですが 安いペンがあるのですね。

  • パイロット カクノ 1,100円
  • プラチナ万年筆 プレピー 330円、440円
  • プラチナ万年筆 クラシックインク 2,200円

パイロット カクノ の方はペン先の微妙な弾力があって書き味が良いです。 プレピーの方が硬めですが、ペン先がカクノに比べて丸みがあるのか引っかかりが少ない。

どちらもボールペンとも鉛筆とも違うので面白いですね。

www.pilot.co.jp

www.platinum-pen.co.jp

www.platinum-pen.co.jp

YubiKey 5C NFC、Security Key NFC by Yubico

Google高度な保護機能プログラムを提供しだしたので使ってみることにしました

スマートフォンをキーにすれば利用出来るのですが、スマートフォンが使えなくなると詰みになるため、オルタナティブとしてハードウェアキーを試すことにしました。

Yubikey に対応しているサービス https://www.yubico.com/why-yubico/for-individuals/

www.yubico.com

www.yubico.com

電動昇降デスク

在宅勤務が長らく継続していて、腰や膝が痛くなってきた。これからも続きそうなので3年前から欲しかったスタンディングデスクをとうとう買ってしまった。

コロナで自宅のデスクを充実させるのが流行っているようで、FLEXISPOT が人気というか定番となっているようですが、実物を確かめたかったのと脚と天板を組み合わせて選ぶのも面倒そうだったので、実物を確認出来てそう高くもないということで IKEA にしました。

しかし、IKEA の組み立て家具の組み立ては初めての人には高度過ぎたので、止めておけば良かったと後悔した。組み立てるには力を入れやすい工具を新たに買ったし、家具組み立てに必須なラバーハンマーも買う必要があった。

このスタンディングデスクには満足しているけど、もう二度とIKEAの組み立て家具は買わないと思った。

www.ikea.com

ディスプレイアーム(エルゴトロン)、ディスプレイライト

天板の高さを調整出来るのに合わせて、モニター位置も調整出来て天板も広く使えるようにしたくなりました。 ちょうど良く、Amazonなんとかセールもしていたので、エルゴトロン ディスプレイアームを買ってみました。

これは言わずもがなイイですね。

www.ergotron.com

机にはディスプレイアームとノートPCアームとマイクアームを付けているので、デスクランプまで天板に付けるのはもうお腹いっぱいなので、流行のディスプレイライトを付けてみることにしました。

これは便利なものですね、特にワイヤレスリモコンの使い勝手が良かったです。

www.mi.com

閃光のハサウェイ虐殺器官

閃光のハサウェイを劇場で観ました。画面が暗すぎて何が起きていたか分からなかったのでもう一度観に行こうかと思っていたら、Netflixで配信されるようになりました。見直してみると、初見では意味が分からなかったセリフや、シーンの状況が分かるようになりました。

ハサウェイは、マフティのメンバーから厚く守られているのだなとセリフと演出の節々に出ている。各作戦立案はハサウェイが深く関わっているにも関わらず、作戦参謀による作戦だという扱いになっている。

どうも演出の細部が気になったので、村瀬修功監督作品の虐殺器官を観てみました。これも面白かったですね。こっちは台詞と設定が多いので分かりやすいのですが、細かいですね。

gundam-hathaway.net

project-itoh.com

OLIGHT EDCライト

https://www.olightstore.jp/olight-baton3-handy-flashlight-kit.htmlwww.olightstore.jp

ホンダマンスリーオーナー

www.honda.co.jp

rsyslog でコンソールに打ち出されるメッセージを消すのに手間取った話

今まで emerg (ヤバいよヤバいよ)を受け取ったことがなかった...

とある ASUSWiFiメッシュルーターを設定中に起きた出来事です。

Ubuntu 20.04 LTS にインストールした rsyslog で ASUSルーターからの syslog を受けていると、SSHログインしたターミナルで鬱陶しいビープが定期的に発生する。なんなら、ビープではなく wall 的にターミナル上に強制的にメッセージが出力される。

この現象がなんなのか、(syslogで受け取っているメッセージである以外に)しばらく分からず放置していた。が、vimを開いていても割り込んでくるのは流石に迷惑なので、どうしたら無効に出来るものかと調べてみました。

wall コマンドって有りましたね、懐かし...

WALL(1)                     Linux User's Manual                    WALL(1)

NAME
       wall -- send a message to everybody's terminal.

SYNOPSIS
       wall [-n] [ message ]

DESCRIPTION
       Wall sends a message to everybody logged in with their mesg(1) per‐
       mission set to yes.  The message can be given  as  an  argument  to
       wall,  or  it can be sent to wall's standard input.  When using the
       standard input from a terminal, the message  should  be  terminated
       with the EOF key (usually Control-D).

       The  length of the message is limited to 20 lines.  For every invo‐
       cation of wall a notification  will  be  written  to  syslog,  with
       facility LOG_USER and level LOG_INFO.

OPTIONS
       -n     Suppresses the normal banner printed by wall, changing it to
              "Remote broadcast message".  This option is  only  available
              for  root  if wall is installed set-group-id, and is used by
              rpc.walld(8).

ENVIRONMENT
       Wall ignores the TZ variable - the time printed in  the  banner  is
       based on the system's local time.

SEE ALSO
       mesg(1), rpc.rwalld(8).

AUTHOR
       Miquel van Smoorenburg, miquels@cistron.nl

                               15 April 2003                       WALL(1)

同じホストにログイン中の皆さまに一斉にメッセージを送り付けることが出来るコマンド。 主には、管理者がホストコンピュータをシャットダウンする時に、ログインしている利用者を追い出すために「出ていけ」メッセージをターミナルに割り込ませるのだ。

ビープ音

bash でのビープ音を制御するのは bell-style (via. Visual Bell mini-Howto )

set bell-style audible|visible|none

rsyslog で syslog 受けてから起きているのだが、どこで wall 叩いているのか?

mseg(1)set bell-style none を無効化したら大人しくなると思ったがダメだったので、発生源をなんとかするしかなさそうだ...。

rsyslog の設定ファイルは /etc/rsyslog.conf なので読んでみたが、どうもそれっぽいものがない...。RH系サーバーしか触ったことがないから Ubuntu はヨクワカラナイ...。

$ cat /etc/rsyslog.conf  | grep -Ev '^$|^#'
module(load="imuxsock") # provides support for local system logging
module(load="imklog" permitnonkernelfacility="on")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$RepeatedMsgReduction on
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf

コンソール、tty に割り込むような出力は定義されていないように見えるんだよなぁ...。分からんから CentOS 7 の rsyslog.conf と比べてみると...。趣がだいぶ違うな...。

$ cat /etc/rsyslog.conf | grep -Ev '^#|^$'
$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
$ModLoad imjournal # provides access to the systemd journal
$WorkDirectory /var/lib/rsyslog
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$IncludeConfig /etc/rsyslog.d/*.conf
$OmitLocalLogging on
$IMJournalStateFile imjournal.state
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 :omusrmsg:*
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log

CentOS 7 には *.emerg :omusrmsg:* が有るので、mesg と bell がターミナルに割り込むのは分かるのだが。。。今まで食らったことがなかったな...。

さて、Ubuntu ではどこにあるのか、チョット奥まったところで見つけた...。

$ cat /etc/rsyslog.d/50-default.conf  | grep -Ev '^$|^#'
auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none      -/var/log/syslog
kern.*              -/var/log/kern.log
mail.*              -/var/log/mail.log
mail.err            /var/log/mail.err
*.emerg             :omusrmsg:*

:omusrmsg:* が Output Module User Message だ。これは要らんのでコメントアウトしてしまえば、鬱陶しさは消える。

そう言えば、いままでこんな目に遭ったことがなかった。 *.emerg とは何なのだろうか?

f:id:nginoza:20211222020141p:plain
syslogのセベリティ via. https://wiki.gentoo.org/wiki/Rsyslog

ツーかさ、「システムダウンの危機」ってどない? ASUSルーターは何故気軽に emerg を出すのだろうか?勘弁してくれ。

そう言えば、syslog って古い書式と新しい(新しいか?)書式がいつまでも混在していますね。。。なんでですかね? via. よくあるご質問(サポートFAQ)・詳細: よくあるご質問(サポートFAQ)・検索一覧 | NEC

フィッシング詐欺等の被害に遭わないために(コンシューマー編)

フィッシングメールを受け取らない

  1. ISPメールボックスを使わない
  2. docomoausoftbank のキャリアメールを使わない
  3. 強力なSPAMフィルター、メールサンドボックスに頼り切る
  4. ChromeFirefox に頼り切る

セキュリティ対策にリソースを使っている大手サービスを利用する。最も情報が集まっているのは、ブラウザ開発をしている組織である。まぁ、ありていに言えば Gmail に頼ってしまえよ!!という身も蓋もない主張。

他人から送り付けられたリンクを開かない

  1. SPAM、フィッシングに限らず広告等も含めて、知らん人から届いたURLをそのまま開かない。
  2. パスワードマネージャーに保存したURLから開く。
  3. 怪しいメール、すなわち初めての URL、ドメインはレピュテーションサイトで調査する。
  4. 謎のフォームには入力しない。
    • 知らん人から渡されたフォームは偽物だと思え。

上記のことは、要するに「裏取りしろ!」ということである。

金融系サイトは予めアプリを入れておく

  • 銀行
  • クレジットカード
  • 電子決済
  • ショッピング

サービスにユーザー登録時に、公式アプリをインストールしておく。 PCではパスワードマネージャーに登録しておく。

正しいサイトだけを使う。

  • パスワードマネージャーを使うことで、不要なサイト(騙しサイト)で入力をしない。

情報を入力しない

盗られた時に、実生活で困るものは影響範囲を最小に絞って日常生活をすると良いかもね。

(2022/02/02 追加) 絶対死守するアカウントを決める

絶対に守りたい、盗られたくないアカウントを決めておくことで、守りに掛けても良いコストを想像する。

そして、ここで決めた 絶対死守アカウントは、メールやSMSで受け取ったリンクを開いて入力することは絶対にしない。 絶対死守アカウントにログインするときには、必ず自分のブックマークやパスワード管理ツールからログインすると決める。

  • スマホやパソコンなどの自分にとって大事なデバイスのアカウント
  • SNSアカウント、ネット上の自分の人格
    • Twitter アカウント
    • Facebook アカウント
    • LINE アカウント
    • 等々
  • 銀行、クレジットカード、電子マネーなどのアカウント
    • 犯罪者が狙っているのは換金できる情報なので、普段は扱う頻度が少ないかもしれないがリスクは非常に高い。その分、サービス提供している事業者はセキュリティに配慮した機能(ログインお知らせ、決済お知らせ、2要素認証などなど)を提供している。すべての機能を活用すること。
  • 認証情報を管理するアカウント
    • すなわちパスワード管理マネージャーのアカウント

さらに意識高い系になる

以前の日記に書いたように、ハードキー(USB/NFCキー)で FIDO2/WebAuthn に対応した認証を使えるようになる。 kt-nk.hatenadiary.jp

FIDO2認証にすれば、フィッシングによるワンタイムパスワード破りにも対抗出来るようになる。 FIDO2/WebAuthn はスマホをキーにすることも出来るので USB/NFCキーをわざわざ買わなくても使えるようにはなるのだが、鍵となるハードウェアを喪失してしまうと自分のアカウントを取り戻すのが困難にもなるので、USB/NFCキーとスマホを併用することで鍵の喪失に備える事が出来ると思う。 www.nikkei.com

その他、各事業者からのフィッシング詐欺対策のアナウンス

「正しく怖がる フィッシング詐欺 オーム社」を読んでみた

正しく怖がるフィッシング詐欺 | Ohmsha

  • 目次
    • 第1章 フィッシング詐欺とは
    • 第2章 A君の例
    • 第3章 インターネットの基礎知識
    • 第4章 フィッシングメール
    • 第5章 フィッシングSMS
    • 第6章 フィッシングサイト
    • 第7章 フィッシングサイトの「見分け方」?
    • 第8章 自分の身の守り方
    • 第9章 セキュリティとサイバー犯罪
    • 付録1 参考情報
    • 付録2 終わりに フィッシング行為を見つけたら ~通報のしかた

TL;DR

この本は、コンシューマー(一般の個人利用者)を対象としたフィッシング詐欺対策を啓もうする本です。 非常に丁寧で最新の情勢を反映していると思いました。。フィッシング詐欺の概要を読むには良い本だと思います。

ただ...

  • 内容を考えると 200ページ以上あるのが...。(ちょっと丁寧すぎ?)
  • 2,420円(税込)は高い...。
  • 概要は分かったが、対策についてが物足りない...

フィッシング詐欺が今後より課題となるのは、コンシューマーからエンタープライズに移っていくだろう。その点でも、対策については具体性が必要になるのかなと、思いました。

  • 本書で紹介されているフィッシング詐欺対策
    • 自分が利用しているウェブ(インターネット)サービスは、予めブラウザのブックマークに登録して日常的に使おう。
    • 銀行、クレカのサービスは、予め公式アプリをインストールして日常的に使おう。
    • 2要素認証、2段階認証を設定しておこう。
    • 複数のメールアドレスを使い分けよう。
      • 登録するサービス毎に例えば、「重要なサービスのメールアドレス」、「ゲーム娯楽用のメールアドレス」などと分けて使用する、とか。
    • 詐欺事例ニュースをチェックする。
    • 詐欺は日頃の隙を狙うもの、「疑う」という姿勢が大事かもしれませんよ。

発見とテイクダウンを目的とする人はこちらをご覧下さい。 qiita.com

フィッシング詐欺と私 〜正直、他人事だよね〜

フィッシング詐欺は、割りと身近にある迷惑行為というか犯罪で、主には迷惑メールという形で顕在している。興味本位で迷惑メールフォルダを覗いてみると、自動的に振り分けられたSPAMの中に広告メールとともにメールプロバイダーによって「詐欺メール」と判定されたメールが入っている。

私は Gmail を使用しているので、自分に届くメールは総べてGoogleによって検閲されている。Googleのメールスキャンによって詐欺メール(fraud mail)はより分けられているため、ほぼ100%と言って良いくらい詐欺メールをそのまま受け取る機会が無くなっている。 (データを持っているわけでは無いので不確かだけれど、2007年から Gmail for Your Domain で使っているが、Adobe IDの漏えい(2013年秋)の頃からも詐欺メールが受信フォルダに入っていた記憶がない...、ただ単に忘却しているのかもしれないが...)

要するに、「迷惑メールフォルダをわざわざ覗けば詐欺メールがあるが、詐欺メールと知らずにリンクをクリックする」ような事は先ず無いのであった。 多分、オレオレ詐欺電話と同じような感覚なのだと思う。即ち、「私に詐欺電話が掛かってきても受電しないから詐欺には引っかからないワ」という他人事なお気持ち。

注釈というより、ツッコミとかただのメモ書き

この手の本を読む時、私は付箋紙とペンを片手に読んでしまう。気になったことや自分の感想を書き込んでしまうのだ。小説ではやらないけれど、ビジネス本や技術書や現代社会の解説本などには、読んだ時の自分のポジションや感想を書き入れておくことで、後に読み返した時の自分の変遷も辿れる事に面白みを見出している。

  • p.9 [1章 フィッシング詐欺とは]
    • (本物そっくりのメールによって騙されるという記述に関して) そっくりの偽物である必要も無くて受信者が何らかの応答をしなければならないと思ってしまう仕掛けがある。
    • しかし、フィッシング詐欺が ↑の例と異なるのは、その場で金品をだまし取るのではなく、詐取するのは情報(認証、クレジットカード番号)で、被害は後から発生することになる。
  • p.11 [1.1 偽物のメールと偽物のWebサイト]
    • (EメールとSMSに限定した書きっぷりを指して) LINE, Slack, Discord, Facebook, Twitter 等々 犯罪者からのメッセージの入り口は、メールやSMS以外にもいくらでもある。
    • (事業者や管理者を指して)各メッセージサービスによって、対策や攻撃の手口が異なる為、対策をする人にとって手口を知ることは重要。
    • いち利用者としては、対策はシンプルである。自分が利用しているサービスが何と何と何であるかを把握しておくことである。
  • p.15 [1.2 増え続けるフィッシング詐欺]
    • (フィッシング対策協議会のデータを引用している事を指して) フィッシング詐欺の本質は、本物と偽物の見分けが付かないことである。しかし、フィッシング対策協議会は団体としての権威性が不明なのである。
  • p.17

    アメリカFBIのサイバー犯罪被害数統計の犯罪分類の紹介を指して) Vishing / Smishing / Pharming 等をフィッシング詐欺に分類ている事について、定義があるならその文書をポインターで示して欲しい。

  • p.19 [1.3 フィッシング詐欺の被害金額]
    • (フィッシング被害状況を追跡できるの?という疑問を込めて) 不正送金とフィッシングは異なるので、例示としては微妙だが説得力あるデータとしては妥当かもしれない。
  • p.29 [2章 Aくんの例-引っかかるとどうなる?]
    • (大雑把に分かりやすく紹介した事例を指して) フィッシング詐欺によって、認証情報を取られた後に何をされるかの解説としては分かりやすいのだが、どの程度の時間軸(詐取されて数日で被害が発生するのか?それとも数時間以内にお金を使われるのか?とか)がないと恐怖感が伝わらないかもしれない。
  • p.36 [3章 インターネットの基礎知識 3.2ログインとID、パスワード]
    • (「認証」と「認可」の説明に関してメモ書き)
      • Authentication: 恐らく、多分、「本人」であろう...と確認して、そう認めることを『認証』と呼ぶ。
      • Authorization: 認証されたユーザー、アカウントごとにアクセス制御することを『認可』と呼ぶ。
  • p.39 [3.3 ドメイン、URL、IPアドレス]
    • www をサブドメインと説明しておいて、「mail というホスト(またはサブドメイン)」と説明してしまうのは表記の揺らぎというか、未定義タームの使用なのでは?
    • FQDN を記載する時に "." を "[.]" と囲むことで自動リンクされることを防ぐことを指して) ここに関してを丁寧に説明すべきで www.example.com と書いてしまうと、表示システムによっては自動的にハイパーリンクとして出力してしまうので不用意にクリックしてしまわないために www[.]example[.]com と記載してリンク文字にしないようにしている。
    • (スキームについて、「Webサイトの場合は http と https しか使いませんから」との記載を指して) 🤔 wss:// とかあるしなぁ...、言い切ってしまうのはどうもなぁ...。ここは記載を簡略にして分かり易く読み進めることを優先しているとは分かるのだが、引っかかるなぁ。
  • p.47 [3.4 電子メールのしくみ]
    • (メール関連プロトコルとして SMTP/POP3/IMAP を示しているのに図解がないことを指して) それぞれのプロトコルが何処で使われているかの説明が必要なのではないかと思った。 (「メールは送信時に経由したサーバ等のログを残したまま受信者に届く」との記載を指して) あくまで、SMTPで中継しているログが残っているだけである。今時分は、オープンな中継をするMTAは既に駆逐されているので、途中経路というサーバーは存在しないのではないか?
      f:id:nginoza:20211101211133j:plain
      メールプロトコルがそれぞれ何処で使われているか図解いれるとよいと思いました。
      Eメールは、組織やベンダーの違いを容易に跨いでメッセージのやり取りが出来るしくみである。だからこそ便利で、それが故に悪意のあるものに利用されている。
    • (「マルウェアを添付したメールをばら撒いてPCを感染させる」との記載を指して) トロイ系についても「感染」と呼ぶのは不思議な感じがする。
  • p.55 [3.5 SMS(ショートメール)のしくみ]
    • (「マルウェアに感染した一般の方の電話番号なのです」との記載を指して) スマホiPhoneAndroid)のマルウェアも「感染」するのだろうか?スマホの不正アプリはほとんどがトロイ系で、利用者が自らアプリをインストールする事で入り込むのだけど...。
  • p.56 [3.6 IDとパスワード]
    • (パスワードの使い回しは危険だと指摘していることについて) イラストがちりばめられているのに実際のユーザーの共感を呼ぶような構図にした方がイイと思うのだけど...。
    • この本は、一般向けの啓蒙を目的とした本であると思う。啓蒙によって被害を防ぎたいのなら、ブラウザのパスワードマネージャーや OSのキーチェーン機能を紹介するに留めるよりも、パスワード管理ツールの選び方や使い方を解説した方が良いように思うのだ。しかし、セキュリティの専門家が公にパスワード管理ツールを勧めている事例を聞かないのだよなぁ、どういう理由があるのだろうか?
      f:id:nginoza:20211101213814j:plain
      パスワードはサービス毎に変えると、パスワードいっぱいになっちゃうよ😵
  • p.59 [3.6 盗まれたパスワードの確認 Have I Been Pwned]
    • 著名なセキュリティ研究者とは...? コンピュータ・セキュリティのニュースでは「研究者」と書かれるケースが多い。セキュリティ・エンジニアの肩書きとして「リサーチャー」は、「アナリスト」ではないし「エンジニア」でもない事も多い。セキュリティ関連ニュースをスクラップする人もリサーチャーと呼ばれたりもする...。(研究者というと大学などで研究しているひとをイメージしてしまう)
    • したがって、Have I Been Pwned に自分のIDを入力するのは中々ワイルドだなと思って掛からないといけないのではないか?
  • p.63 [3.6 2要素認証]
  • p.64 [4章 フィッシングメール]
    • 事例紹介をするのはよいことではあるのだが「何故、私の所にはフィッシングメールが来ないのか?」を伝える方が被害を少なくするのではないか。Gmailを使おうとか、SPAMフィルター/AV/Sandbox が充実したプロバイダーサービスを使おうとか、ISPのメールアドレスは捨ててしまえとか、一般向けに言うべきことがありそうである。
  • p.71 [4.1 こんなメールがやってくる]
    • 広告メールや正規のサービス業者からのメールでもマーケティング追跡用として、表記と実アドレスが異なるリンクが使われることが多々ある。一般ユーザーからすれば、HTMLメールはウソつきなのだ。フィッシングメールに限った説明ではない。バッドノウハウは覚えたくないものだ、人間の記憶域のムダだよ。
  • p.81 [4.2 心理的なだましのテクニック]
    • 詐欺師の話を聞いたらその時点でアウトであるように、フィッシングメールを読んだら騙される人は騙されてしまう。注意喚起が通じる人に説明するよりも、偽メールを読まないで済む方法を教える方が役に立つと思うのだ...。
  • p.82 [5章 フィッシングSMS]
    • 怪しいドメイン名はMicrosoftがお得意で、本物か偽物か分からないややこしい本物ドメインを使っている。
      • microsofto.com
        windows.net
        azure.net
        msecnd.net
        skype.net
        tenor.net
        skypeforbussiness.com
    • 本物自らが怪しいドメイン名をサービス用に使っている。こんな状態ではドメインで「変だな?」と気付というのは酷である。
  • p.91 [5.2 本物っぽく見せるワザ]
    • (本物からのメッセージスレッドに偽メッセージを割り込ませるテクニックの紹介を指して) クライアント(iPhoneAndroid)のSMSメッセンジャーアプリの表示方法によって錯乱・混乱させられることが問題であり、利用者では避けようがない状態である。SMSの仕様の問題なので、利用者側で知っておかねばならないバッドノウハウの1つである。
  • p.95 [5.4 SMSを送るマルウェア]
    • 技術を紹介するのではなく、被害対策を啓蒙するための本であるようだ。だとすると、読者が本当に読んでくれるのか疑問ですよね。どうやって通信制限しているかなどを解説する方が良い気がするのですよ。(本書の後の方では、詳細を解説しているページがある)
  • p.102 [5.4 SMSを送るマルウェア]
    • 野良アプリ、サイドローディング。公式ストア(Google Play)以外からアプリをインストールすること。
  • p.163 [7章 フィッシングサイトの見分け方 7.3 メールの差出人では見分けられない]
    • SPFDKIM、DMARCの解説の受けて) 送信者を騙るメール自体は無くなっていくのだが、詐欺メール自体が無くなるわけではない。しかしながら、送信元がそのまま見えるようになることで、送信元アドレスをレピュテーションによって判定出来るとは思う。一般ユーザーにとっては知らない人からのメール入らないという判定方法でも十分見切れるようになるのだろう。

法令

フィッシング対策のガイドラインについて

フィッシング対策ガイドライン 2021年度版 フィッシング対策協議会2021年6月1日 を読んでみました。

概要

https://www.antiphishing.jp/news/techwg_openday2020_online_TOPPANFORMS.pdf

f:id:nginoza:20211022012931p:plain
フィッシング対策協議会 2021年版フィッシングレポートの概要とポイント

利用者向けフィッシング詐欺対策ガイドライン2021年度版

先ずは「利用者向け」要するにコンシューマ向けのガイドラインを読んでみました。

  • 目次
    1. フィッシングとは
    2. フィッシング対策3つの心得
    3. いますぐできるフィッシング対策
    4. フィッシング対策協議会と本ガイドラインの位置づけ
    5. 付録
      1. フィッシング事例
      2. パスワードの考え方(「フィッシングレポート2015」より)

1. フィッシングとは

フィッシングとは Phishing であり魚釣りではありません。

  • フィッシング(Phishing) ≠ 魚釣り(Fishing)
  • 様々なサービスの利用者(消費者)のパスワードを詐取(だまし取る)することを狙いとしています。

2. フィッシング対策3つの心得

  1. STOP 立ち止まって理解する
  2. THINK 何が起こるか考える
  3. CONNECT 安心してインターネットを楽しむ

stopthinkconnect.jp

3. いますぐできるフィッシング対策

  1. 正しいURLにアクセスする
    • オンラインサービスの初回利用時のユーザー登録、利用登録の際にはブラウザーのブックマークに登録するなどしておく。
      • バナー広告や検索結果などのリンクから直接パスワード等の入力を求められてもそこでは入力しないで、自分で登録したブックマークからログインなどを経てアクセスする等の工夫をする。
    • 電子メールのリンクはクリックしない。
    • 本物のウェブサイトであるかを確認する。
      • ドメイン名が正しいか? / ウェブサイトを運営している組織は正しいか? / アドレスバーの鍵マークをクリックして証明書を確認する
      • (感想)↑コレを全部確認しても本物か偽物かなんてワカランだろ!? 本物のサイトでもサテライトサイトやプロモーションサイトは .com とか .io とか .tv とかワケワカランし。証明書も Let's などを使うのが当たり前になっていて、企業サイトが総べて EV を使っているとは限らない!!
    • モバイル端末では、URLが総べて表示されないので ドメイン をみて確認する。
      • (感想)↑無理やろ、マジ無理やろ、アホちゃうか、お前は区別出来るんか?
  2. なりすましメールに注意する
    • SNSやSMSのメッセージにも注意する。事前に銀行やショッピングサイトからどのようなタイミングでメールが届くかを事前に把握する。
      • (感想)↑ムチャクチャ言うとる。不可能やろ、大量のデータを記憶して多変量解析出来る頭脳を持っておるのか?
    • 電子署名の確認
      • 多くの銀行は電子メールに S/MIME を採用している。電子署名を確認するようにする。
      • (感想)いや、それ、みんながみんな S/MIME 使っているわけじゃない所が狙い目になっているので...、これを対策というのはバカなのでは?
    • SMSの発信者番号の確認
      • (感想)それは偽装出来るし、本物でもさ見覚えが無い番号からメッセージが届くじゃ無いか...。バカかな?
  3. パソコンやモバイル端末を安全に保ちましょう
    • ソフトウェアを最新の状態にする
    • パスワードのしっかりとした管理 (後段の フィッシングレポート2015 で触れるらしい)
    • サービス事業者のセキュリティ機能を活用する
      • ワンタイムパスワード
      • アプリ生体認証
      • メール認証、SMS認証
      • 利用状況メール通知(ログイン通知や決済通知など)
      • ソフトウェアキーボード << (感想)流石に嘘やろ
      • ウイルス対策ソフト <<(感想)🤔確かにURLフィルター機能が付いているAVもあるな...
      • フィッシングサイト検知ソフト << (感想)↑のURLフィルターのレピュテーション機能やな...
    • 正しいアプリを使う
      • Google PlayApp Store 以外の野良アプリをインストールしない(サイドローディングしない)。

4. フィッシング対策協議会と本ガイドラインの位置づけ

フィッシング対策協議会は、2005 年 4 月に、フィッシング詐欺をはじめとするオンライン犯罪の増加を予見し、関係者が情報交換を行い、また被害況に応じた対策を推進するという目的で発足いたしました。

  • 関係者が誰なのか?
  • 設置者は誰なのか?
  • 誰が権威を与えているのか?

謎の団体なんだけど...、どうしたら「フィッシング対策協議会」の素性が分かるのだろうか?

5. 付録

  1. フィッシング事例
    • ショッピングサイトを騙る事例
    • 銀行を騙る事例
    • クレジットカードを騙る事例
    • SNSを騙る事例
    • オンラインゲームを騙る事例
  2. パスワードの考え方(「フィッシングレポート2015」より)
    • 情報セキュリティ大学院大学 内田勝也 名誉教授のコラムを紹介している。フィッシングレポート2015 フィッシング対策協議会 より
    • パスワード管理ツール
    • 手書きメモ、手書きノート
    • 認証サービスの利用 <<(感想)組織のシステム管理者による一元化された認証管理サービスは、個人利用者向けではないですね。

フィッシング対策ガイドライン2021年度版

1. はじめに

  1. 想定読者と目的
    • 対象:
      • フィッシングによって被害を受けるウェブサイト運営者と利用者
    • 目的
      • フィッシングへの対策を整理して提示する。
  2. このガイドは何であって何でないか
    • フィッシング対策に絞っている。
    • 機密性、完全性、可用性について解説・提言はしない。
    • EUCを対象として AV の話はしない。(フィッシングにつながるものは考慮する) << (感想)何を言っているかワカラナイ...
  3. 用語解説
    • フィッシング(phishing
      • 実在する組織を騙って、ユーザーネーム、パスワード、アカウントID、ATM の暗証番号、クレジットカード番号といった個人情報を詐取すること。
    • フィッシャー(phishier)
      • フィッシング行為は、おとりとなる電子メールを起案する者、電子メールを送信する者、フィッシングサイトを設置する者など、複数の行為者で構成される。フィッシャーとは、それら一連の行為者の全体を意味する。
    • フィッシングサイト(phishing site)
      • 金融機関、クレジットカード会社など、金銭に関連するアカウント情報を持つサイトを模倣して設置されたおとりサイトのこと。
    • フィッシング被害
      • 事業者がその社名やサービス名などブランドを不正に第三者に騙(かた)られたり、そのログイン画面などを真似られたりすることによりフィッシング行為に悪用されること。または、そのフィッシング詐欺により利用者や従業員が個人識別情報を詐取されること。または、そのフィッシ ング詐欺により利用者や事業者が金銭的な損害を被ること。
    • テイクダウン(take-down)
      • フィッシングサイトを閉鎖することを指す。シャットダウンまたはサイトクローズともいう。
    • CSIRT(シーサート、Computer Security Incident Response Team)
      • コンピューター およびコンピューター ネットワークで発生したセキュリティインシデントに関する報告を受け取り、精査した後に、適切な対応を行うことを目的に組織されたチームのことを指す。特定の企業、大学など比較的大規模な教育機関、地域あるいは国家、研究ネットワークなどのために組織される。
    • SMS(Short Message Service)
      • 携帯電話同士で電話番号を宛先にして短いテキスト(文章)によるメッセージを送受信するサービス。開封率の高さから企業から利用者への連絡手段として利用されている。
    • 錠前マーク
      • Web ブラウザーのアドレスバーの近くに表示されるアイコンのことで、Web ブラウザーと、アクセスしている先の Web サーバーとの間でやり取りされる通信データが暗号化されていることを示している。途中で盗聴されてもデータの内容を読み取られないが、安価なもしくは無料のサーバー証明書を使ったフィッシングサイトが増加しており、錠前マークが表示されているだけではフィッシングに対して安全とは言えなくなりつつある。鍵マークと呼ばれることもある。

2. フィッシングに関する基礎知識

  1. フィッシング詐欺の手口(利用者の認証情報を取得する迄)
    • (フィッシャー)正規のウェブサイトを模した偽サイトを準備する。
    • (フィッシャー)利用者に偽サイトのURLへ誘引するメッセージ(メール、SMS)を送り付ける。
    • (利用者)メッセージにより偽サイトに誘導される。
    • (利用者)正規のウェブサイトと混乱し、利用者自身の正規ウェブサイトの認証情報を入力してしまう。
    • フィッシング対策ガイドライン 2021年版 フィッシング対策協議会
      図3 フィッシング詐欺の複雑な例
      • 防弾ホスティング(Bulletproof Hosting) を利用して偽サイトを公開する。
      • マルウェアや漏えいアカウント情報(Anti Public Combo List)、フィッシングキット、認証情報コーミング(Credential Stuffing Attack Tool)等々の悪用ツールを売買し活用する。
      • ボットネット等を利用しフィッシングメールをバラ蒔く。
      • これら全体がサイバー犯罪のサービス(Crime as a Service)として闇で売買されている。
  2. SMSを利用したフィッシング詐欺

3. フィッシング対策ガイドライン重要5項目

  • 利用者に送信するメールには「なりすましメール対策」を施すこと
  • 複数要素認証を要求すること
  • ドメインは自己ブランドと認識して管理し、利用者に周知すること
  • すべてのページにサーバー証明書を導入すること
  • フィッシング詐欺対応に必要な組織編制とすること
  1. 利用者に送信するメールには「なりすましメール対策」を施すこと
    • 外部送信用メールサーバーには、SPFDKIM の送信ドメイン認証と送信元アドレスの偽証検知のヒントを仕込む。さらに DMARC を活用し送信者偽装を施したフィッシングメールを利用者に届けない。
    • メールに使用していないドメインDNS の MX レコードと DMARC レコードを記述し、DMARC の受信制御ポリシーを reject にすることはスパムやフィッシングメールの未然防止に繋がる。
    • SMS の配信には、国内直接接続のSMS 配信を利用し、事前に発信者番号をWeb サイト等で告知することが必要である。
  2. 複数要素認証を要求すること
    • フィッシャーの狙いは、認証情報(ログインアカウント情報、クレデンシャル)である。フィッシングによって詐取した認証情報を使用して正規ユーザーになりすまして資産の移動をする事を最終目的としている。(不正送金や商品の購入)
    • 詐取した認証情報だけでは、ログインアカウントを使用できない仕組みにしておく事でフィッシャーに目的を達成させない。それにより被害を抑えることになる。
  3. ドメインは自己ブランドと認識して管理し、利用者に周知すること
    • 使用するドメイン名と用途の情報を利用者に周知すること
    • ドメイン名の登録、登録、利用、廃止にあたっては、ドメイン名を自己のブランドとして認識して管理すること
  4. すべてのページにサーバー証明書を導入すること
    • 常時SSL化(ウェブサイトの総べてのページで SSL/TLS 化する)
      • (注釈)EV証明書であれば、ドメインの持ち主が実在し登記されていることも証明することになるが DV証明書であること、そして、フィッシングサイトもSSL化されていることを考慮しても、これがフィッシング対策とはならない。
  5. フィッシング詐欺対応に必要な組織編制とすること

4. Web サイト運営者におけるフィッシング詐欺対策

フィッシング対策ガイドライン 2021年版 ウェブサイト運営者におけるフィッシング詐欺対策 より
図6 利用者サイドでのフィッシング被害発生フロー

利用者保護および信頼確保の視点を持ち、Web サイト運営者においても、十分なフィッシング詐欺対策を実施すべきであろう。

ガイドラインで提示する対策事項では、実施必要性について以下のような優先度を設定している。 * ◎:実施すべきと考えられるもの * ○:実施を推奨するもの * △:必要に応じて実施すべきもの

  • 4.1〜4.4 対策
    • 【要件1】 ◎:利用者が確認できるように利用環境と分かりやすい説明に配慮した上で、どのように確認すればいいのかを分かりやすく端的に説明すること。
    • 【要件2】 ◎:外部送信用メールサーバーを送信ドメイン認証に対応させること
    • 【要件3】 ◎:利用者へのメール送信では、制作・送信に関するガイドラインを策定し、これに則って行うこと
    • 【要件4】 〇:Web サイト運営者が利用者に送信するメールはテキスト形式とすること
    • 【要件5】 ◎:利用者に送信するSMS には国内直接接続の配信を利用すること
    • 【要件6】 ◎:利用者に情報発信する手段および内容を周知すること
    • 【要件7】 ◎:Web サイトの正当性に係る情報を十分に提供する画面とすること
    • 【要件8】 ◎:すべてのページにサーバー証明書を導入すること
    • 【要件9】 ○:認証システムが許容するポリシーを利用者に示すこと
    • 【要件10】 ○:色々なチャネルで利用者に対する脅威の状況を提供する
    • 【要件11】 ◎:利用者に端末を安全に保つよう、注意を促すこと
    • 【要件12】 ◎:複数要素認証を要求すること
    • 【要件13】 ◎:ポイントや資産の移動に限度額を設定すること
    • 【要件14】 ◎:ポイントや資産の移動時に利用者に通知を行うこと
    • 【要件15】 ○:利用者の通常とは異なるアクセスに対しては追加のセキュリティを要求すること
    • 【要件16】 ○:登録情報を変更するページへの移動には再度認証を要求すること
    • 【要件17】 ○:重要情報の表示については制限を行う
    • 【要件18】 ○:認証情報は厳格に管理すること(アカウントは不必要に発行しない)
    • 【要件19】 ◎:アクセス履歴の表示
    • 【要件20】 ◎:利用者の認知している Web サイト運営者名称から連想されるドメイン名とすること
    • 【要件21】 ◎:使用するドメイン名と用途の情報を利用者に周知すること
    • 【要件22】 ◎:ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
    • 【要件23】 ◎:フィッシング詐欺対応に必要な機能を備えた組織編制とすること
    • 【要件24】 ◎:フィッシング詐欺に関する報告窓口を設けること
    • 【要件25】 ◎:フィッシング詐欺発生時の行動計画を策定すること
    • 【要件26】 ◎:フィッシング詐欺の手法および対策に関わる最新の情報を収集すること
    • 【要件27】 ◎:フィッシングサイト閉鎖体制の整備をしておくこと
    • 【要件28】 ○:フィッシングサイトアクセスブロック体制の整備をしておくこと
    • 【要件29】 ◎:利用者が実施すべきフィッシング詐欺対策啓発活動を行うこと
    • 【要件30】 ◎:フィッシング詐欺発生時の利用者との通信手段を整備しておくこと
    • 【要件31】 ○:Web サイトに対する不審なアクセスを監視すること
    • 【要件32】 △:フィッシング詐欺検知に有効なサービスを活用すること
    • 【要件33】 △:端末の安全性を確認すること
    • 【要件34】 △:バウンスメールを監視すること
  • 4.5 フィッシング詐欺被害が発生してしまった際の対策
    1. フィッシング詐欺被害の発見
    2. フィッシング詐欺被害状況の把握
    3. フィッシング詐欺被害対応の活動
      • フィッシングサイトテイクダウン活動
      • フィッシングメールに対する注意勧告
      • 関係機関への連絡、報道発表
    4. 生じたフィッシング詐欺被害の回復措置
    5. 事後対応
      • フィッシング詐欺被害時の対応フローの例

5. 利用者におけるフィッシング詐欺対策

6. 付録

7. 検討メンバー

フィッシング対策について

テイクダウンについて