2005年04月08日
■ セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ
INTERNET Watchの4日の記事によると、UFJカードがフィッシング詐欺対策ツール を導入したという。
- UFJカード、フィッシング詐欺を防ぐ個人情報保護ツールを導入, INTERNET Watch, 2005年4月4日
同ツールを起動することにより、利用者がアクセスしようとしているサイトが正規のUFJカードのサイトであるか判別できる。UFJカードを装ったメールに記載されたURLを開くと、正規のページではない場合には「UFJカードとは関連のないホームページにアクセスしました。」というメッセージダイアログが表示される。
そんなことができるのか? と、にわかには信じがたい。UFJカードのプレスリ リースを確認してみると、次のように書かれていた。
本ソフトはフィッシング詐欺*1対策機能等を持っており、お客様はUFJカードホームページ画面の起動ボタンをワンクリックするだけで、安全な環境で各種サービスをご利用いただけます。
(略)UFJカードのホームページにアクセスしている間、「nProtect Netizen」を起動することで、お客様のお使いのパソコンと情報を ガードします。また、昨今、問題となっているフィッシング詐欺に対しての有 効な対策機能である「フィッシングブロック」機能も備えております。フィッ シング対策機能がついた製品は他社にもありますが、それらは警告を促すだけ にとどまり、最終的にはお客様の意思決定に委ねられているため、抜本的な問 題解決には至っておりませんでした。しかし、「nProtect Netizen」の「フィッ シングブロック」機能は、お客様がアクセスしようとしているサイトが、正規 のUFJカードのサイトであるかどうかを自動的に検知し、簡単に判別する画 期的なツールです。
UFJカード、ホームページのセキュリティを強化〜フィッシング詐欺対策機能ツール導入〜, 株式会社UFJカード, 2005年4月4日
ブックマークなどから本物のUFJカードのサイトを訪れて、そこに設置されている「nProtect:Netizen」を 起動することで、UFJカードのサイトに滞在している間、つまり、少なくとも一つのウィンドウがUFJカードのサイトを開いている間、ウイルス検出や、パーソナルファイアウォールや、キーロガー対策などができるというわけだ。消費者は無料で使用でき、料金はサイト側が負担するというコスト負担モデルになっており、サイト側にとっては、「お客様のためのセキュリティ対策をしている」というポーズをアピールできる点に価値があることになる。そのため、消費者がUFJカードのサイトを去ると数秒以内に 「nProtect:Netizen」は終了する仕組みになっている。他のサイトでも有効で あるためには、他のサイトも金を払って導入しないといけない。
キーロガー対策ができるといった機能はまあ評価できるだろう。銀行のような重要なサイトで無料でキーロガー対策ができるというわけだ。だが、フィッシング詐欺対策になるというのは納得しがたい。
そこで、UFJカードに電話して尋ねてみた。担当の方にいろいろ質問したり意 見を述べたところ、この製品の採用を決めた担当者が異動してしまっていて詳 しいことがわからないから、後日折り返し電話するとのことだった。
すると翌日、「nProtectサポートセンター」から電話がかかってきた。サポー トセンターと話す気などなかったのだが、かかってきたものはしかたがないの でお相手した。やりとりはおおむねこんな感じになった。
サポートセンター: 昨日UFJカード様へお問い合わせ頂いた件、nProtectサポー トセンターからお答えさせていただきます。
私: はぁ、そうですか。
サ: UFJカードのサイトでnProtectを起動した後、メールのリンクから別サイ トへジャンプすると、nProtectが終了してしまうとのことでしたが、
私: はい。
サ: ではまずお客様のパソコンの環境を教え……
私: 環境は関係ないですよ。だって、UFJカードのサイトに居るときだけ動作 するのがnProtectの仕様なんですから、そうなるのが当然ではないですか?
サ: UFJカードのサイトを開いて、nProtectを起動して、メールのリンクをク リックすると、ジャンプ先がUFJカードのサイトでないときには、「はい」か 「いいえ」を尋ねるダイアログが現れます。
私: 「はい」「いいえ」などというボタンは出ませんが。
サ: 出ます。
私: 「有効のまま閉じる」と「無効にして閉じる」ではありませんか? まずそちらでやってみてはどうでしょうか。
サ: こちらで確認しますので、少々お待ちください。
...
サ: 「有効のまま閉じる」または「無効にして閉じる」のダイアログが出ました。
私: その後どうなりましたか?
サ: nProtectは動き続けています。
私: それは、別のウィンドウが開いたのではありませんか?
サ: 別のウィンドウが開いています。
私: IEの設定がデフォルトと違うのではありませんか? 「インターネットオ プション」の「詳細設定」の「ショートカットを起動するためにウィンドウを 再使用する」の設定は、チェックになっていますか?
サ: チェックされています。
私: メールソフトは何を使いましたか?
サ: Outlook Expressです。
私: 他のメールソフトではどうなりますか。
サ: では、Becky!で確かめてみます。しばらくお待ちください。
...
サ: おっしゃるとおり、Becky!からリンク先にジャンプすると、既に開いているIEのウィンドウがジャンプ先に切り替わり、nProtectが終了しました。
私: そうでしょう? で、どうなんですか?
サ: UFJカード様から伺っていましたお客様のご質問は、メールからリンク 先にジャンプするとnProtectが終了してしまうというものでした。たしかに そうなります。
私: これがフィッシング詐欺対策になるんですか? ということをUFJカードに 尋ねたのですが。
サ: この現象について上に報告させていただきます。
私: むしろ、UFJカードに伝えたほうがよいのではないですか?
サ: 伝えます。
ちなみに、UFJカードより先に、東京スター銀行が同じものをフィッシング詐欺対策と称して導入していたが、こちらのプレスリリース(の2ページ目)には嘘偽りないことが書かれている。
■使用方法
例: 東京スター銀行のお客様のもとに、東京スター銀行を装ったフィッシング詐欺のメールが届いたとします。メールに書かれているURLがフィッシングサイトかどうかを判断したい場合、以下のようにします。
1. 東京スター銀行のホームページ(http://www.tokyostarbank.co.jp/)にアクセスし、「nProtect Netizen」を起動します。(メールに書かれているURLを直接クリッ クしないでください。)
2. 別のブラウザウィンドウを立ち上げ、メールに記載されているURLをクリックしてそのサイトを開きます。もしこのときに、『東京スター銀行とは関係のないホームページにアクセスしました。』というメッセージダイアログが表示されたら、そのサイトはフィッシングサイトである可能性があります。
日本企業初!! フィッシング詐欺対策機能を持ったツールを導入 〜自社ホームページの個人情報保護を強化し、お客様に安全と安心を提供〜, 株式会社東京スター銀行, 2005年3月23日, p.2
この説明は正しい*1。この通りに使うことを消費者が理解していないと、フィッシング詐 欺対策にはならない。このように使い方をきっちり説明しなければ、虚になる。
ちなみに、この東京スター銀行の(正確な)プレスリリースを受けて、マスゴミがいい加減な報道をして、人々に誤まった理解を広げていた。
- 東京スター銀行、Web サイトにフィッシング詐欺対策機能を導入, japan.internet.com編集部, 2005年3月24日
このフィッシングブロック機能は、ツールを起動するだけで、ユーザーがアクセスしようとしているサイトが正規の東京スター銀行のサイトかどうか、判別することができる。同ツールが起動している間、これを起動させた Web サイトとは関係のない URL を開こうとすると、注意を促すメッセージダイアログが表示される。
他方、INTERNET Watchは正確な報道をしていた。
- 東京スター銀行、フィッシング詐欺メール対策ツールを導入, INTERNET Watch, 2005年3月23日
たとえば、利用者のもとに東京スター銀行を装った疑いのあるメールが届いた場合、東京スター銀行のサイトにアクセスしてからnProtect Netizenを起動する。その後、 別のブラウザを立ち上げてメールに記載されているURLを開 くと、正規のページでない場合には「東京スター銀行とは関連のないホームペー ジにアクセスしました。」というメッセージダイアログが表示される。
同じソフトなのに、東京スター銀行についての報道では正しいことが書かれて おり、UFJカードについての報道では誤ったことが書かれているのはどうした ことか。同じ記者による記事なのにだ。どうやら、プレスリリースを右から左 へと流しているだけらしい。いまどき、文章の要約なんぞ機械でもできるわけ で、プレスリリースを垂れ流すだけならそんな報道はいらない。そんなのは近 い将来 Googleが機械的にやってのける仕事になるだろう。マスゴミに人間は 不要なのだ。
さて、東京スター銀行にとって、この「nProtect:Netizen」のフィッシング対 策機能は欠かせない重要な役割を担っている。
なぜなら、東京スター銀行のログインの画面は(いまどきめずらしく)アドレス バーもないし、ステータスバーもないし(図1)、右クリックも禁止されてい るので、ログイン画面が本物かどうか消費者が自力で確認する手段がないのだ。 だからこそ、「nProtect:Netizen」を使うことによって、消費者が画面が本物 かどうか確認できるというわけだ。
今まさにこの種の対策ソフトを導入して成果をあげたいと考えている事業者の 担当者がいたら、その前にまず、自社の正規のログイン画面からアドレスバー を隠し、ステータスバーも隠し、右クリックも禁止するとよいだろう。
そして消費者は、「セキュリティ対策をしました」と発表するサービス事業者 の真価を見極める眼を持たなければならない。マスゴミは本当のことを絶対に 教えてはくれない。
*1 ただし、偽サイトがポップアップ・ウィンドウを出してくる場合には、nProtect:Netizenが出す「UFJカードとは関係のないホームページに アクセスしました」という警告ダイアログが、すぐさま、ポップアップしたウィ ンドウの裏側に隠れてしまうことがあるので、消費者は瞬きせずに、nProtect の警告ダイアログが出ないか見つめていないといけないという難点があるよう だ。
私が東京スター銀行についてのエントリを書いてトラックバックしたため、ではもちろんないだろうけど、そのとき紹介した高木浩光氏の日記に同行が採用しているnProtect:Netizenの話題が。別のブラウザウィンドウを立ち上げ…そんな使い方をしなくちゃいかんですか。理由が..
昨日のasahi.comの記事に「フィッシング詐欺に防御ソフト 銀行やカード会社が提供」というのがあった。 同じアプリケーションの話としては高木浩光@自宅の日記にも一昨日「セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ」でも取り上げられている。 こ..
あらかじめ断っておくが、ユーザーの自衛のためにこの記事を書く。ここの内容を決して悪用しないでいただきたい。場合によっては、今回の一連の記事は削除する。 最初に。phishing詐欺とはなんぞや?って人はこちらをどうぞ。 http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/..
スラッシュドット ジャパン | フィッシング詐欺対策ソフトを導入する銀行が登場経由で,高木浩光@自宅の日記 - セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ 非常に興味深い記事です。 当該ツールを使われている,あるいはこれから使おうと考え...
記事ではこの件です。VISAをかたる日本語フィッシングが再び,偽サイトではURLを偽装[2005/04/18] 某MLでは4/17日曜の夜からその話題が。こん
先月末に東京スター銀行がフィッシング対策として導入した「nProtect Ne
PostgreSQL 8.0が出て以来,とっても重宝している.一世代前のNote PCでも,ディスクの遅さ(Kのご指摘)と五月蠅さを除けば,開発環境としては十分である.
http://nikkeibp.jp/wcs/j/it/388054 UFJ銀行だと、便利だという印象が。その辺が、ねらいでしょうが、経済的にはすごくマイナスですね。 関連サイト http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050726/165280/ http://www.itmedia.co.jp/enterprise/articles...
- https://www.google.co.jp ×17 (2015-08-24)
- http://sekai-kabuka.com/-news-bcptd/ ×10 (2014-08-27)
- www.nantoka.com/~kei/diary/ ×143 : 32, 31, 11, 10, 6, 6, 6, 5, 4, 2, 2, 2, 2, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2013-07-16)
- はてなダイアリー [OfficeLove 20050410] ×13 : 12, 1 (2013-02-18)
- http://ja.uncyclopedia.info/wiki/NProtect ×40 (2012-11-29)
- スラッシュドットcomments [252812] ×38 : 25, 3, 3, 2, 1, 1, 1, 1, 1 (2012-11-28)
- はてなダイアリー [hoshizawa 20051029] ×390 : 335, 52, 3 (2012-04-25)
- はてなダイアリー [OfficeLove] ×16 : 15, 1 (2011-08-12)
- http://ansaikuropedia.org/wiki/NProtect ×19 (2011-02-07)
- スラッシュドットarticle [05/04/26/2216241] ×177 : 56, 42, 25, 15, 15, 12, 4, 2, 1, 1, 1, 1, 1, 1 (2010-11-21)
- はてなダイアリー [yaneurao] ×1084 : 986, 61, 6, 4, 3, 3, 3, 3, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2009-10-09)
- はてなダイアリー [buyobuyo 20050412] ×2 : 1, 1 (2008-12-14)
- http://ninjax.dreamhosters.com/hgame_hgame2/bbspink-idol_hga... ×7 (2008-10-22)
- はてなダイアリー [hoshizawa] ×145 : 121, 14, 7, 1, 1, 1 (2008-06-22)
- fc2 blog [suzumizaki.blog6] ×11 : 6, 2, 2, 1 (2007-04-15)
- www.oiwa.jp/~yutaka tdiary ×25 : 17, 3, 2, 2, 1 (2007-04-05)
- ココログ [iwata way] ×110 : 32, 30, 18, 13, 7, 4, 3, 3 (2006-12-29)
- http://mcn.oops.jp/glossary/internet/phishing.htm ×7 (2006-11-30)
- スラッシュドットcomments [336836] ×38 : 14, 12, 3, 3, 2, 1, 1, 1, 1 (2006-10-18)
- スラッシュドットarticle [06/10/17/0739201] ×26 : 16, 8, 1, 1 (2006-10-18)
- http://www.infoseek.co.jp/OTitles?lk=noframes&qp=0&st=0&nh=1... ×4 (2006-02-03)
- はてなダイアリー [buyobuyo] ×9 : 6, 2, 1 (2006-01-23)
- http://www.overture.com/d/search/?xargs=02u3hs9yoawQWSOUarAA... ×4 (2006-01-16)
- blog.goo.ne.jp [evergreen_1978] ×6 : 2, 2, 1, 1 (2005-09-26)
- 中村正三郎のホットコーナー ×1864 : 1412, 190, 157, 34, 32, 12, 9, 8, 3, 2, 2, 1, 1, 1 (2005-07-16)
- はてなダイアリー [hanazukin] ×33 : 32, 1 (2005-06-07)
- 2ちゃんねる掲示板 [bizplus 1115293756] ×2 : 1, 1 (2005-05-16)
- http://www.espresso.gr.jp/~miru/blog2/archives/cat/cat_2.php... ×7 (2005-05-12)
- http://itnavi.net/phishing.html ×36 (2005-05-11)
- http://gooroo.blogzine.jp/blog/2005/04/post_15e3.html ×9 (2005-05-11)
- 2ちゃんねる掲示板 [credit 1114113750] ×3 : 1, 1, 1 (2005-05-08)
- http://itnavi.net/index.html ×6 (2005-05-05)
- http://kosuge.kdn.jp/anti/bbs/bbs.cgi?no=1100&reno=1095&oya=... ×10 (2005-04-28)
- http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=1095&p... ×10 (2005-04-28)
- セキュリティホールmemo ×263 : 217, 43, 2, 1 (2005-04-26)
- スラッシュドットcomments [250152] ×8 : 5, 1, 1, 1 (2005-04-13)
- RinRin王国 ×145 : 100, 37, 4, 2, 1, 1 (2005-04-13)
- http://iiyu.asablo.jp/blog/2005/04/13/ ×12 (2005-04-13)
- http://iiyu.asablo.jp/blog/2005/04/13/1235 ×34 (2005-04-13)
- http://iiyu.asablo.jp/blog/ ×329 (2005-04-13)
- はてなダイアリー [ryuzi_kambe] ×5 (2005-04-12)
- はてなダイアリー [minap 20050411] ×7 (2005-04-11)
- http://www.espresso.gr.jp/~miru/blog2/ ×5 (2005-04-11)
- http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect... ×11 (2005-04-11)
- http://club.h14m.org/kenji/diary/?200504b ×7 (2005-04-11)
- http://tech.osc.olympus.co.jp/xoops/modules/news/article.php... ×5 (2005-04-11)
- http://reima.sub.jp/sb/ ×7 (2005-04-11)
- http://club.h14m.org/kenji/diary/ ×35 (2005-04-11)
- http://memo.st.ryukoku.ac.jp/archive/200504.month/8290.html ×22 (2005-04-11)
- ココログ [stressfulangel cocolog] ×6 (2005-04-11)
- http://catcat.boo.jp/blog2/archives/2005/04/11/111154.php ×4 (2005-04-11)
- http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/20... ×9 (2005-04-11)
- スラッシュドットarticle [05/04/11/0035253] ×82 : 24, 15, 11, 11, 11, 6, 2, 1, 1 (2005-04-11)
- はてなダイアリー [yaneurao 20050413] ×196 : 190, 6 (2005-04-11)
- はてなダイアリー [minap] ×5 (2005-04-11)
- http://yamagata.int21h.jp/d/ ×5 (2005-04-11)
- http://rin.kir.jp/pismo/archives/000644.html ×6 (2005-04-11)
- http://yamagata.int21h.jp/d/?date=20050410 ×5 (2005-04-10)
- http://tdiary.ishinao.net/20050409.html ×10 (2005-04-09)
- http://takabsd.jp/d/?date=20050409 ×4 (2005-04-09)
- ココログ [jmseul cocolog] ×6 (2005-04-09)
- nProtect Netizen ×444 / nprotect netizen ×193 / 東京スター銀行 ×144 / nprotect 銀行 ×135 / nProtect:Netizen ×129 / http://takagi-hiromitsu.jp/diary/20050408.html ×91 / nProtect ×78 / キーワード不明 ×52 / nprotect ×34 / nProtect Netizen ×27 / 餌食 ×25 / 思考停止 ×24 / 東京スター銀行とは ×21 / nProtect : Netizen ×19 / nprotect netizen とは ×19 / ショートカットを起動するためにウィンドウを再使用する ×19 / "nProtect Netizen" ×18 / nprotect netizen 評判 ×17 / 商社 ×16 / ステータスバー ://takagi-hiromitsu.jp/diary/ ×15 / キーロガー対策 ×14 / nprotect 評判 ×14 / netizen ×14 / セキュリティ 商社 ×12 / nProtect netizen ×12 / 東京スター銀行について ×12 / nprotect 高木 ×11 / nProtect 銀行 ×9 / nprotect netizen 評価 ×9 / Netizen 高木 ×8 / nProtect 銀行 ×8 / セキュリティ商社 ×7 / やねうらお ×7 / nprotect Netizen ×7 / ショートカットを起動するために ×7 / nProtect Netizen 評価 ×7 / ネチズン 高木 ×6 / UFJ フィッシング ×6 / "netizen""nprotect" ×6 / ホームページのセキュリティ ×6 / Netizen ×6 / 東京スター銀行 セキュリティ ×5 / nprotect:netizen ×5 / ワンリック詐欺 ×5 / NPROTECT ×5 / 商社 セキュリティ ×5 / マスゴミ ×5 / nProtect:Netizen ×5 / 高木浩光 nprotect ×4 / 高木 nProtect ×4 / フィッシング対策 ×4 / 東京スター銀行 どう ×4 / nProtect Netizen」 ×4 / 右クリック禁止 セキュリティ ×4 / nProtect Netizen ×4 / フィッシング nProtect ×4 / takagi-hiromitsu.jp/diary/20050408.html ×4 / nProtect ×4 / nprotect 評価 ×3 / nPROTECT ×3 / 高木浩光 ポップアップ ×3 / nProtect 東京スター銀行 ×3 / 〔nProtect:Netizen ×3 / 高木 セキュリティ ×3 / セキュリティー商社 ×3 / 高木 ブログ セキュリティ ×3 / 東京スター銀行 対策 検証 ×3 / セキュリティ ブログ 高木 ×3 / 右クリック 禁止 セキュリティ ×3 / フィッシング詐欺の注意点 ×3 / nprotect サポート ×3 / ワンクリック詐欺 ポップアップ ×3 / nProtect Netizen 導入理由 ×3 / UFJ ×3 / フィッシング ×3 / nProtectとは ×3 / nProtect 高木浩光 ×3 / 自宅 開発環境 ×3 / nProtect Netizen 高木 ×3 / nProtect 回避 方法 ×3 / 自衛 ×3 / フィッシング詐欺 対策ソフト ×3 / フィッシングブロック ×3 / 「nProtect Netizen ×3 / -hiromitsu.jp nprotect ×3 / 高木浩光 UFJ ×3 / nprotect:Netizen ×3 / nProtect キーロガー ×3 / フィッシング詐欺対策ソフト ×3 / キーロガー 対策 ×2 / ワンkリック詐欺 ×2 / nProtect 仕様 ×2 / nProtect:Netizen ×2 / IE ステータスバー メッセージ 流す XP ×2 / Nprotect ×2 / nprotect netizen 中止したい ×2 / nProtect 停止 ×2 / 東京スター銀行 高木 ×2 / セキュリティ カード ×2 / Netizen nprotect ×2 / -hiromitsu.jp/diary/ Phishing ×2 / 警察庁サTバー対策 ×2 / tokyostarbank ×2 / netizen nprotect ×2 / ショートカットを起動するためにウインドウを再使用する セキュリティ ×2 / nProtect 問題 ×2 / nProtect:Netizen ×2 / http://takagi-hiromitsu.jp/diary/20050408.html#p01 ×2 / ショートカットを起動するためにウィドウを再使用する ×2 / shgehsa ×2 / becky URL ウィンドウ ×2 / nProtect 導入 ×2 / nProtect 仕組み ×2 / nprotect -hiromitsu.jp ×2 / -hiromitsu.jp 電話 ×2 / nprotect 停止 ×2 / nPROTECT Netizen ×2 / ポップアップの停止 ×2 / フィッシング詐欺 高木 ×2 / 思考 ツール ソフト ×2 / 右クリック 禁止 フィッシングサイト 判断 ×2 / セキュリティ ツール ×2 / ie セキュリティ 対策ツール2010 ×2 / 高木 Netizen ×2 / nprotect キーロガー 動作 ×2 / セキュリティ 自衛 ×2 / nprotect 仕組み ×2 / nProtect 高木 ×2 / カード会社 フィッシング 対策 高木 ×2 / 東京スター銀行 韓国 ×2 / 銀行対策 ×2 / 右クリック -hiromitsu.jp ×2 / takagi nprotect ×2 / 高木浩光 フィッシング ×2 / 高木 ブログ UFJ ×2 / フィッシング 見分け ×2 / 日記 ツール ×2 / メール セキュリティ 高木 ×2 / n-protect 保護 ×2 / netizen 高木浩光 ×2 / ufj ×2 / 「nProtect:Netizen ×2 / IE ショートカットを起動するためにウインドウを再使用する ×2 / nprotect:netizen 必要性 ×2 / ショートカットを起動するためにウインドウを再使用する ×2 / 高木浩光 nProtect ×2 / フィッシングダイヤリーブロック ×2 / セキュリティ ホームページ 高木 ×2 / npro 銀行 ×2 / NPROTECT NETIZEN ×2 / netizen セキュリティ ×2 / n Protect Netizen 5 ×2 / 高木 セキュリティ ブログ ×2 / セキュリティ 詐欺 ×2 / IE ショートカットを起動するためにウィンドウを再使用する ×2 / saat netizen 評判 ×2 / 高木浩光 銀行 評価 ×2 / becky セキュリティ ×2 / 東京スター銀行 評価 ×2