2006年09月23日 - クジョたいさく物語の謎
葉っぱ日記さんにて、IPA(独立行政法人 情報処理推進機構)の「セキュリティ対策まんが クジョたいさく物語」なるものを紹介していたので、眺めてみました。
しかしながら何故か404エラーで、なかなか閲覧できず。
大変面白い話でありますので、逐一眺め感想を記載してみます。
微妙な内容ですね。第1話「ウイルス対策ソフトは最新のものにすべき」の巻(IPA)を読んだ後に、どうしたものかとのモヤモヤ感を抱きました。
細かく記載してしまえば定義ファイル(シグネチャファイル)と検索エンジンですね。
定義ファイルにて対応されないマルウェアに対処するには、ヒューリスティックスキャンが必須でありますが、この機能の更新は「ウイルス定義」なるものに含有されるのかな。
この記事に対し最も不満感を感じた点は「ワクチンソフトが最新版ならば安全」との、古い・間違った神話を踏襲している点だ。
今時は多くの事例にて、アンチウイルスソフトメーカーによる定義ファイルは実際のアウトブレイクよりも数時間から数日は遅れ、更には小規模な感染例であるもの(一例としてスピア型・Targeted attack)ならば、検体を提出しなければいつまでも対応されないのもよくある話だ。
だから模範解答的には「最新の定義ファイルであっても感染するマルウェアはありうるが、最新の状態に保てば多くの場合において難を避けられるだろう」なんだろうか。
余計な話ではあるのだが。末尾には「スパイウエアは気付かぬうちに侵入するぞ!」なる項目。
この記事中の「ワクチンソフト」がアンチウイルスソフトとしたらばだが、多くのアンチウイルスソフトは(全てではないものの)スパイウェアを検出するだろう。
「クジョたいさく」クイズでは「ウイルス対策ソフトの中には、スパイウェア検出機能を持っているものがありますので、製品を購入する際に確かめましょう。」と記載しているのだから、ウイルス対策ソフトウェアにおけるスパイウェア対策についても、元の文章中に記載を加えるてもいいような。
断りとして)
大多数のアンチウイルスソフトやスパイウェア対策ソフトもまた、最新のスパイウェアは検出しないだろう。
メーカーによっては個人情報の流出をもたらすスパイウェアは、トロイの木馬と称される場合もある。
何をどう言ったらば良いのか、言葉に詰まった。第2話「修正プログラム(パッチ)をあてるべし」の巻は、マンガ的誇張がやり過ぎの感がある。
そもそも、どうやってメールアドレスを突き止めたんだろうか。「クジョたいさく事務所」のwhois情報を元に調べたんだろうか?
あり得ない。。。。。。。。。
今時はBotによるDDOSアタックを回避するようなソリューションも販売されているようだし、それに「国防省」だよ?わざわざ「自分らを攻撃するのは止めて下さいー!」と連絡するものなんだろうか。
「コンピュータ上のOSやプログラムは・・・常に最新の状態にしておくべし!」では、Windows Updateしか紹介されていないようだ。
Adobe ReaderやQuickTimeはどうしたものかと考えたのだが、一々個別の製品に対してアレコレと言及するのも無理があるのだろう。
また、ボットについての記載が気にかかる。「悪〜いやつからの命令を待ち」のような、受動的な事例のみなんだろうか?
感染後にハーダーが設置した「指令マシン」とやらに接続し、ボット及びその他のバージョンアップや指令の受信などを行う、ある意味で能動的な振る舞いを行うような事例が多いような気がする。
ブラウザで表示したサイトよりファイルをダウンロードし、動画だと思って実行したファイルが実行形式ファイルだった、100万円請求された。
第3話「あやしいファイルを開くな(ホームページ編)」の巻(IPA)はワンクリウェア感染を想定した回のようだ。
拡張子偽装はワンクリサイトの手口としてよく紹介されている事例の一つだ。
ワンクリック詐欺、ワンクリウェアなるもの(Semplice)にても記載したワンクリウェアは、かつての強制架電詐欺とほぼ同様の手法で多くの消費者を騙している。
「お宝画像.exe」でアイコン偽装されている危険ファイルを発展させた事例としては、二重拡張子ファイル(abc.jpg.exeのような実行形式ファイル)やスペースを幾つも利用したファイル名(abc.jpg exe)のようなものか。
参考リンクとして紹介されているコンピュータウイルス・不正アクセスの届出状況[12月分および2005年年間]について(IPA)には掲載されているこの手の拡張子偽装テクニックは、何故かクジョたいさく物語にては紹介されていないのが気にかかる。
恐らくはクジョ対策物語のターゲッティング層は「初心者」なのではなかろうか。
必要以上な(とIPAが判断した)情報を詰め込まず、シンプルな構成としたのだろう、多分。
初心者向けコンテンツに仕立てるとしても、以下の点には言及は欲しかったなぁ。
1)アイコンは偽装でき、プログラムの実行形式ファイルはアイコンをjpg画像やテキストやWordのdoc形式ファイルに偽装される場合もある。
2)マクロウイルスや最近話題のMS Office製品脆弱性を狙ったトラップ、一太郎トラップ。Exploitを仕込んだzipファイルやJPEG画像や動画トラップの存在は、実行形式ファイル(exe, com, scr, bat, pif)以外ならば安全との誤ったサインを初心者に送りかねない。クジョ対策物語もしくは参考リンクに含めておくべきだった。
3)動画ビューアーの脆弱性を突いた罠ファイルがネット上には広く存在する点について。
余計な話でありますが。自分がセミナーの講師をやって「皆さんどう思いますかぁ?」などと研修参加者へ振った時に、以下のような回答が出たらば必ず注意すると思う。
そもそも、論点が不十分だしおかしいのだ。
怪しいファイルは、開くべきではない。アンチウイルスソフトによりスキャンしようがしまいが、マルウェアを検出しようがしまいか、そんなのはどうでもいいのだよ。
「相手を信頼できるか否か」をどのように判断するんだろうか。
日頃付き合いがある・あの人はまさかウイルスを送りつけたりはしないだろう、とかそんなものか?または日頃利用しているサイトだからまさか、とか。
そんな「信頼」は、幻想だ。サイトにしても「うっかりミスによるハック」や参加者によるミスもありうるだろう。
一例として、ゴニョゴニョしたファイルをGoogleのイメージ検索に登録させ、Googleの検索結果か何かのように装ったURL(URI)を投稿するテクニックもあるようだ。
またhttp://www.google.com.example.com/ のURI(URL)ならば?
メールの送信者ではどうだろうか。
日頃より頻繁に付き合いがある業者のメールアカウントで、以下のようなメールが送られてきたらばどうなんだろうか。
件名:「ご連絡」
本文:「先日の見積もりに誤りがありました。ご迷惑をおかけし大変申し訳ありませんでした、至急ご確認下さい」
添付ファイル:何とか.exe
自分ならば相手に電話で、「こんなメールが届きましたが、どのような用件でしょうか?」と必ず問い合わせするよう薦める。
過去には顧客よりのクレームを装った人物が、トロイのサーバープログラムを仕込んだexeファイルが企業に送信された事件もあった。対応する方は「嫌だなぁ、危険そうだなぁ」と思いつつ開かねばならない事例もあるだろう。そのような場合には必ずネットワーク管理者に事前に一報を入れ相談すべきだ。
相手のメールアカウントを第三者が騙し・または乗っ取っている可能性や、相手がマスメーリング系ウイルス(厳密にはワームか)に感染している可能性を全く提示していない。
第3話で取り上げた問題点のうち一つ、冗長なスペースを含むファイル名についての扱いに言及したのは、誰かからかクレームでもあったのだろうか。
だが二重拡張子についての言及が無い点は、まだ納得がいかない。
記事中ではナンシーより送付された添付ファイルは「写真.exe」でアイコンが画像ファイルに偽装されていたのだが。
これが「写真.jpg exe」ならばどうなんだろうか?「ごまかしたファイルの事例」にてexeまでを含めて提示しなければ、一連の特集が初心者向けであるために十分には納得してもらえないだろう。
さて、第3話に引き続きメールの送信者がどれだけ信頼できるのかについてだ。
本文は英文とは限らないし、感染者が送付したメールに自動的に添付ファイルをくっつけ送信させるマルウェアも存在するだろう。
第3話と第4話は、全面的な書きなおしを要求する。
このままではIPAが連載でターゲッティングしている初心者層に対し、誤解を招くだけだろう。
しかしながら何故か404エラーで、なかなか閲覧できず。
大変面白い話でありますので、逐一眺め感想を記載してみます。
記事の内容に対する感想 - 大丈夫かこれ?
第1話「ウイルス対策ソフトは最新のものにすべき」の巻
微妙な内容ですね。第1話「ウイルス対策ソフトは最新のものにすべき」の巻(IPA)を読んだ後に、どうしたものかとのモヤモヤ感を抱きました。
ワクチンソフトには、ウイルス定義を自動的に更新する機能が付いている。
第1話「ウイルス対策ソフトは最新のものにすべき」の巻
細かく記載してしまえば定義ファイル(シグネチャファイル)と検索エンジンですね。
定義ファイルにて対応されないマルウェアに対処するには、ヒューリスティックスキャンが必須でありますが、この機能の更新は「ウイルス定義」なるものに含有されるのかな。
この記事に対し最も不満感を感じた点は「ワクチンソフトが最新版ならば安全」との、古い・間違った神話を踏襲している点だ。
今時は多くの事例にて、アンチウイルスソフトメーカーによる定義ファイルは実際のアウトブレイクよりも数時間から数日は遅れ、更には小規模な感染例であるもの(一例としてスピア型・Targeted attack)ならば、検体を提出しなければいつまでも対応されないのもよくある話だ。
だから模範解答的には「最新の定義ファイルであっても感染するマルウェアはありうるが、最新の状態に保てば多くの場合において難を避けられるだろう」なんだろうか。
余計な話ではあるのだが。末尾には「スパイウエアは気付かぬうちに侵入するぞ!」なる項目。
スパイウエアは気づかぬうちに侵入するぞ!
スパイウエアの検出には、スパイウエア対策ソフトを利用しよう。ウイルスのときと同じ様に、定期的な定義ファイルの更新が重要なのじゃ。
第1話「ウイルス対策ソフトは最新のものにすべき」の巻
この記事中の「ワクチンソフト」がアンチウイルスソフトとしたらばだが、多くのアンチウイルスソフトは(全てではないものの)スパイウェアを検出するだろう。
「クジョたいさく」クイズでは「ウイルス対策ソフトの中には、スパイウェア検出機能を持っているものがありますので、製品を購入する際に確かめましょう。」と記載しているのだから、ウイルス対策ソフトウェアにおけるスパイウェア対策についても、元の文章中に記載を加えるてもいいような。
断りとして)
大多数のアンチウイルスソフトやスパイウェア対策ソフトもまた、最新のスパイウェアは検出しないだろう。
メーカーによっては個人情報の流出をもたらすスパイウェアは、トロイの木馬と称される場合もある。
第2話「修正プログラム(パッチ)をあてるべし」の巻
何をどう言ったらば良いのか、言葉に詰まった。第2話「修正プログラム(パッチ)をあてるべし」の巻は、マンガ的誇張がやり過ぎの感がある。
メール来た
「こちらは某国連邦捜査局のジャックス・モジュラー捜査官だ。おまえが我が国国防省のコンピュータシステムに攻撃を仕掛けていることを突き止めた。」
第2話「修正プログラム(パッチ)をあてるべし」の巻
そもそも、どうやってメールアドレスを突き止めたんだろうか。「クジョたいさく事務所」のwhois情報を元に調べたんだろうか?
「おまえに報復する...ジャックス・モジュラー
第2話「修正プログラム(パッチ)をあてるべし」の巻
あり得ない。。。。。。。。。
今時はBotによるDDOSアタックを回避するようなソリューションも販売されているようだし、それに「国防省」だよ?わざわざ「自分らを攻撃するのは止めて下さいー!」と連絡するものなんだろうか。
「コンピュータ上のOSやプログラムは・・・常に最新の状態にしておくべし!」では、Windows Updateしか紹介されていないようだ。
Adobe ReaderやQuickTimeはどうしたものかと考えたのだが、一々個別の製品に対してアレコレと言及するのも無理があるのだろう。
また、ボットについての記載が気にかかる。「悪〜いやつからの命令を待ち」のような、受動的な事例のみなんだろうか?
感染後にハーダーが設置した「指令マシン」とやらに接続し、ボット及びその他のバージョンアップや指令の受信などを行う、ある意味で能動的な振る舞いを行うような事例が多いような気がする。
第3話「あやしいファイルを開くな(ホームページ編)」の巻
ブラウザで表示したサイトよりファイルをダウンロードし、動画だと思って実行したファイルが実行形式ファイルだった、100万円請求された。
第3話「あやしいファイルを開くな(ホームページ編)」の巻(IPA)はワンクリウェア感染を想定した回のようだ。
拡張子偽装はワンクリサイトの手口としてよく紹介されている事例の一つだ。
ワンクリック詐欺、ワンクリウェアなるもの(Semplice)にても記載したワンクリウェアは、かつての強制架電詐欺とほぼ同様の手法で多くの消費者を騙している。
「お宝画像.exe」でアイコン偽装されている危険ファイルを発展させた事例としては、二重拡張子ファイル(abc.jpg.exeのような実行形式ファイル)やスペースを幾つも利用したファイル名(abc.jpg exe)のようなものか。
参考リンクとして紹介されているコンピュータウイルス・不正アクセスの届出状況[12月分および2005年年間]について(IPA)には掲載されているこの手の拡張子偽装テクニックは、何故かクジョたいさく物語にては紹介されていないのが気にかかる。
恐らくはクジョ対策物語のターゲッティング層は「初心者」なのではなかろうか。
必要以上な(とIPAが判断した)情報を詰め込まず、シンプルな構成としたのだろう、多分。
初心者向けコンテンツに仕立てるとしても、以下の点には言及は欲しかったなぁ。
1)アイコンは偽装でき、プログラムの実行形式ファイルはアイコンをjpg画像やテキストやWordのdoc形式ファイルに偽装される場合もある。
2)マクロウイルスや最近話題のMS Office製品脆弱性を狙ったトラップ、一太郎トラップ。Exploitを仕込んだzipファイルやJPEG画像や動画トラップの存在は、実行形式ファイル(exe, com, scr, bat, pif)以外ならば安全との誤ったサインを初心者に送りかねない。クジョ対策物語もしくは参考リンクに含めておくべきだった。
3)動画ビューアーの脆弱性を突いた罠ファイルがネット上には広く存在する点について。
余計な話でありますが。自分がセミナーの講師をやって「皆さんどう思いますかぁ?」などと研修参加者へ振った時に、以下のような回答が出たらば必ず注意すると思う。
信頼できない相手からメールで送られて来たファイルや、信頼できないサイトからダウンロードしたファイルは、不用意に開かないという心掛けが大事です。
コンピュータウイルス・不正アクセスの届出状況[11月分]について(IPA)
そもそも、論点が不十分だしおかしいのだ。
怪しいファイルは、開くべきではない。アンチウイルスソフトによりスキャンしようがしまいが、マルウェアを検出しようがしまいか、そんなのはどうでもいいのだよ。
「相手を信頼できるか否か」をどのように判断するんだろうか。
日頃付き合いがある・あの人はまさかウイルスを送りつけたりはしないだろう、とかそんなものか?または日頃利用しているサイトだからまさか、とか。
そんな「信頼」は、幻想だ。サイトにしても「うっかりミスによるハック」や参加者によるミスもありうるだろう。
一例として、ゴニョゴニョしたファイルをGoogleのイメージ検索に登録させ、Googleの検索結果か何かのように装ったURL(URI)を投稿するテクニックもあるようだ。
またhttp://www.google.com.example.com/ のURI(URL)ならば?
メールの送信者ではどうだろうか。
日頃より頻繁に付き合いがある業者のメールアカウントで、以下のようなメールが送られてきたらばどうなんだろうか。
件名:「ご連絡」
本文:「先日の見積もりに誤りがありました。ご迷惑をおかけし大変申し訳ありませんでした、至急ご確認下さい」
添付ファイル:何とか.exe
自分ならば相手に電話で、「こんなメールが届きましたが、どのような用件でしょうか?」と必ず問い合わせするよう薦める。
過去には顧客よりのクレームを装った人物が、トロイのサーバープログラムを仕込んだexeファイルが企業に送信された事件もあった。対応する方は「嫌だなぁ、危険そうだなぁ」と思いつつ開かねばならない事例もあるだろう。そのような場合には必ずネットワーク管理者に事前に一報を入れ相談すべきだ。
相手のメールアカウントを第三者が騙し・または乗っ取っている可能性や、相手がマスメーリング系ウイルス(厳密にはワームか)に感染している可能性を全く提示していない。
第4話「あやしいファイルを開くな(メール編)」の巻
第3話で取り上げた問題点のうち一つ、冗長なスペースを含むファイル名についての扱いに言及したのは、誰かからかクレームでもあったのだろうか。
だが二重拡張子についての言及が無い点は、まだ納得がいかない。
記事中ではナンシーより送付された添付ファイルは「写真.exe」でアイコンが画像ファイルに偽装されていたのだが。
これが「写真.jpg exe」ならばどうなんだろうか?「ごまかしたファイルの事例」にてexeまでを含めて提示しなければ、一連の特集が初心者向けであるために十分には納得してもらえないだろう。
さて、第3話に引き続きメールの送信者がどれだけ信頼できるのかについてだ。
本文は英文とは限らないし、感染者が送付したメールに自動的に添付ファイルをくっつけ送信させるマルウェアも存在するだろう。
第3話と第4話は、全面的な書きなおしを要求する。
このままではIPAが連載でターゲッティングしている初心者層に対し、誤解を招くだけだろう。
Posted by Luca at 19:49
│
│
2006年09月15日 - VISTAのビルトインアカウント
パスワードを入力せずにログオンできるユーザーアカウントが存在するのは、かなり嫌なものなのだが。WindowsXPの後継バージョンであるVISTAでは改善されるらしい。
(そのようなアカウントを野放しにするのは、自分としては好きではない)
Microsoftの原文を眺めても、どうもピンとこないのだが。
Windows XPのユーザーアカウント管理 - セキュリティ対策のために(Tef-Room)にて紹介されている「WindowsXP HomeEditionのSafeモードでのみ利用できる隠しユーザーアカウントである、パスワードも無いAdministratorアカウント」のようなものは無くなるとの意味なのだろうか。
ネットワーク経由でパスワードが設定されていないユーザーアカウントへログオンできないXP、またブロードバンドルーターとNATの普及、これによりWindowsXP以前のWindows2000の時代にて多く報告されていた不正ログオンの問題は、かなり回避されたと言えども。
WindowsXP HomeEditionにおけるAdministratorアカウントは、ローカルハックでは最大のセキュリティホール(仕様か?)なのではないだろうか。
(WindowsXP Professionalであっても、Administratorアカウントが作成される場合はある)
どうもよくわからないんですが。
VISTAではWindowsXP HomeEditionにおけるAdministratorアカウントに相当するアカウントは作成されない、との話でいいんですよね?
(そのようなアカウントを野放しにするのは、自分としては好きではない)
米Microsoftの次期OS「Windows Vista」では、ユーザーアカウントの管理に大幅な変更が加えられ、ビルトインの管理者アカウントは基本的に使用できなくなることが、8月27日付の同社公式ブログで明らかになった
ビルトインの管理者アカウントは、これまでのWindowsで、インストール時に自動的に作成されていたユーザーアカウント。コンピュータの基本的なセットアップやシステム変更などに使用されるが、パスワードによる制限が設定されておらず、セキュリティの問題を指摘されていた。今回の変更により、Vistaでは、こうしたパスワード設定のない「ビルトイン」管理者アカウントを基本的に使用できなくする。
Vistaから、「ビルトイン」の管理者アカウントが消える(ITmedia)
Microsoftの原文を眺めても、どうもピンとこないのだが。
Windows XPのユーザーアカウント管理 - セキュリティ対策のために(Tef-Room)にて紹介されている「WindowsXP HomeEditionのSafeモードでのみ利用できる隠しユーザーアカウントである、パスワードも無いAdministratorアカウント」のようなものは無くなるとの意味なのだろうか。
ネットワーク経由でパスワードが設定されていないユーザーアカウントへログオンできないXP、またブロードバンドルーターとNATの普及、これによりWindowsXP以前のWindows2000の時代にて多く報告されていた不正ログオンの問題は、かなり回避されたと言えども。
WindowsXP HomeEditionにおけるAdministratorアカウントは、ローカルハックでは最大のセキュリティホール(仕様か?)なのではないだろうか。
(WindowsXP Professionalであっても、Administratorアカウントが作成される場合はある)
どうもよくわからないんですが。
VISTAではWindowsXP HomeEditionにおけるAdministratorアカウントに相当するアカウントは作成されない、との話でいいんですよね?
Posted by Luca at 23:34
│
│
2006年09月14日 - クレジットカードの不正な架空請求と詐欺の検証に行き詰る
クレジットカードによるオンラインショッピングでの決済は大変便利なものの、悪質な不正な架空請求や詐欺の可能性が付きまとうものだ。
以前より大変興味があったものの、個人レベルではリサーチは難しい。方々に相談したもののいい知恵が浮かばずあきらめなければならないようだ。
著名なものとして、VISA、MasterCard 、アメリカン・エキスプレスだろうか。
君はどこかのオンラインモールやWebサイトより商品を購入し、代金をクレジットカードにて決済したとする。締切日に取りまとめられ、登録した銀行口座より代金が引きおろされるだろう(場合によってはリボ払い(リボルビング払い)で定額やもしれない)。
つまりはある一定の限度額まで支払いを立て替えてくれるサービスなのだ。
また限度額、例えば50万円の金額が設定されていれば、それ以上の決済はできないだろう。
あちらこちらの対策側サイトにては、フィッシング詐欺・ファーミング詐欺対策*や、決済画面にては暗号化されているhttpsの画面であるのを確認してなどとは言われるものの。
大体、「相手は信頼できる業者なのかい?」
Web上の店舗や業者のみならず、決済代行業者はまともなのかい?
(*ファーミング詐欺については ファーミング詐欺とDNSはフィッシング詐欺を超える参照)
余談である。
今年の春にとある業者より商品を購入しようとユーザー登録したものの結局購入を取りやめたのだ。すると3ヶ月ほど後より、他には登録していないメールアドレス宛てにスパムメールが届くようになった。
商品を購入しなくて本当に良かった。
顧客の名簿を転売するような業者が信頼できるはずがない。
実生活でクレジットカードを利用する際には、かなり注意深く振舞っていたとしても、被害を受ける事例も多数存在し得るだろう。
ネット上ではなく実社会の店舗での例として、スキミングにより偽造カードを作成されてしまう場合はどうなんだろうか。
店舗の読み取り機が細工されたものに置き換わっており番号を第三者が入手できたり、または悪意のある店員により番号が盗み取られるなどの被害だ。
多くのオンラインショッピングでは、クレジットカードの番号と有効期限と名義人氏名がわかれば、容易に利用できるものだ。そんなものは店舗にて怪しい店員が携帯電話で写真をパチリ、これでもう終わりだ。
どうしょうも無い話ではあるのだが。
以前財布に貯まったレシートなどを整理していたらば、氏名・番号・有効期限が丸写しなクレジットカードの伝票があったのだ。
捨てた伝票が悪意を持った第三者に拾われ悪用されたらば、さすがに危険なのではなかろうかと。
またクレジットカードの裏面などに記載されているPINコード、つまり暗証番号もまた微妙なものなのだ。
PINコードをオンラインショッピングで登録させれば、不正請求はできなくなるだろう、万歳か?
いや、違うって。
そのPINコードを送信した相手が、果たして信頼できる業者なのかい?
これまた悪質な店員によるデジカメ・携帯電話でパチリ、これで終わりだ。
(PINコードの入力を求めるオンラインショッピング業者も存在するが、自分としては利用を避けたいものだ)
ソースがメモより見つからないのだが、酷い話をあと一つ。
どこかのテレビ局がクレジットカードの特集を放映した際に撮影・放映したクレジットカードが、不正請求に遭ったとの話もある。テープでも貼れば良いのにそのような対策を講じていなかったたのだろう。
またテレビ番組のためと番組制作会社を名乗り、大学生よりクレジットカードにて品物を購入させる詐欺も以前あったようだ。
顔も見ない相手に自分のクレジットカードの番号を送るのは不安なものだ。
一部のクレジットカード業者はそのような顧客の要望に答える形で、1回限りで使い捨ての番号を発行している。
これは面白い対応策ですね。
やっと本題。散発的な話を長々と申し訳ない。
とあるセキュリティ対策ソフトウェアを購入したらば、身に覚えの無い不正請求が起きたとの事例が幾つか報告されている。
この問題に興味を持ち、先日より色々考えてはいるんですが。
さすがに個人のクレジットカードをこのような目的で「テスト」するのは難しく、自分にはさすがに無理です。かなりの勇気が必要です。
そこで1回限り有効な使い捨てクレジットカード番号の利用を考えたものの、これでは二回目の請求 - つまり不正請求 - は検出できないのではないでしょうか。
怪しい業者による不正請求で身に覚えの無い借金を抱えるのは、いかにチャレンジャーな自分と言えども無理。
どうしたものでしょうか。
カードの限度額をかなり低く設定して試せばと?
検証作業を行うためには、一つのクレジットカードで一回の買い物しかできず。
本格的に行うとしたらば幾つもの複数のクレジットカードが必要なため、無理があります。
幾人かと相談したものの、「若いうちの借金は、一生の財産で社会勉強だよハハハ!」とか、そんな感じばかりです。
(いい友人ばかりですね、はい)
いずこかの公的機関や消費者団体などが、このような検証を行っていただけるならばいいんですが。
「詐欺行為」や「不正請求があった」と報告されたようなオンラインショップやモール、ネット上の業者を監視し監督する目的で、試しにクレジットカードにて商品を購入し・なおかつ他には登録していないメールアドレスを投稿し、顧客情報をスパムメール配信業者へ転売したりはしないか、またクレジットカードに不正な架空請求が行われないかを監視、と。
(海外の消費者団体には、このような活動を実際に行って検証しているものがあるそうだ、しかし伝聞であり詳細はわからない)
また悪質な業者 - 詐欺的商法にて感染してもいないのに何かに感染していると不安を煽り、いかがわしいソフトウェアを購入させるような事例にては、ソフトウェア製造元ではなく代理店経由で有料版アカウントを販売する事例を散見する。
(無料版の導入を促し、その後駆除するには有償サービスが必要などと迫る手口など)
これはトカゲの尻尾切りなのだろうか?それとも運営母体は同一なのだろうか?
以前より大変興味があったものの、個人レベルではリサーチは難しい。方々に相談したもののいい知恵が浮かばずあきらめなければならないようだ。
クレジットカードによる決済
著名なものとして、VISA、MasterCard 、アメリカン・エキスプレスだろうか。
君はどこかのオンラインモールやWebサイトより商品を購入し、代金をクレジットカードにて決済したとする。締切日に取りまとめられ、登録した銀行口座より代金が引きおろされるだろう(場合によってはリボ払い(リボルビング払い)で定額やもしれない)。
つまりはある一定の限度額まで支払いを立て替えてくれるサービスなのだ。
また限度額、例えば50万円の金額が設定されていれば、それ以上の決済はできないだろう。
クレジットカードと犯罪
ネット上での売買は安全なのだろうか
あちらこちらの対策側サイトにては、フィッシング詐欺・ファーミング詐欺対策*や、決済画面にては暗号化されているhttpsの画面であるのを確認してなどとは言われるものの。
大体、「相手は信頼できる業者なのかい?」
Web上の店舗や業者のみならず、決済代行業者はまともなのかい?
(*ファーミング詐欺については ファーミング詐欺とDNSはフィッシング詐欺を超える参照)
余談である。
今年の春にとある業者より商品を購入しようとユーザー登録したものの結局購入を取りやめたのだ。すると3ヶ月ほど後より、他には登録していないメールアドレス宛てにスパムメールが届くようになった。
商品を購入しなくて本当に良かった。
顧客の名簿を転売するような業者が信頼できるはずがない。
ネット上でなくても十分に注意を払わねばならない
実生活でクレジットカードを利用する際には、かなり注意深く振舞っていたとしても、被害を受ける事例も多数存在し得るだろう。
ネット上ではなく実社会の店舗での例として、スキミングにより偽造カードを作成されてしまう場合はどうなんだろうか。
店舗の読み取り機が細工されたものに置き換わっており番号を第三者が入手できたり、または悪意のある店員により番号が盗み取られるなどの被害だ。
多くのオンラインショッピングでは、クレジットカードの番号と有効期限と名義人氏名がわかれば、容易に利用できるものだ。そんなものは店舗にて怪しい店員が携帯電話で写真をパチリ、これでもう終わりだ。
どうしょうも無い話ではあるのだが。
以前財布に貯まったレシートなどを整理していたらば、氏名・番号・有効期限が丸写しなクレジットカードの伝票があったのだ。
捨てた伝票が悪意を持った第三者に拾われ悪用されたらば、さすがに危険なのではなかろうかと。
またクレジットカードの裏面などに記載されているPINコード、つまり暗証番号もまた微妙なものなのだ。
PINコードをオンラインショッピングで登録させれば、不正請求はできなくなるだろう、万歳か?
いや、違うって。
そのPINコードを送信した相手が、果たして信頼できる業者なのかい?
これまた悪質な店員によるデジカメ・携帯電話でパチリ、これで終わりだ。
(PINコードの入力を求めるオンラインショッピング業者も存在するが、自分としては利用を避けたいものだ)
ソースがメモより見つからないのだが、酷い話をあと一つ。
どこかのテレビ局がクレジットカードの特集を放映した際に撮影・放映したクレジットカードが、不正請求に遭ったとの話もある。テープでも貼れば良いのにそのような対策を講じていなかったたのだろう。
またテレビ番組のためと番組制作会社を名乗り、大学生よりクレジットカードにて品物を購入させる詐欺も以前あったようだ。
使い捨て番号による、オンライン決済による詐欺行為と不正請求対策
顔も見ない相手に自分のクレジットカードの番号を送るのは不安なものだ。
一部のクレジットカード業者はそのような顧客の要望に答える形で、1回限りで使い捨ての番号を発行している。
これは面白い対応策ですね。
不正請求事件を追ってみたかったものの、力不足で挫折
やっと本題。散発的な話を長々と申し訳ない。
とあるセキュリティ対策ソフトウェアを購入したらば、身に覚えの無い不正請求が起きたとの事例が幾つか報告されている。
この問題に興味を持ち、先日より色々考えてはいるんですが。
さすがに個人のクレジットカードをこのような目的で「テスト」するのは難しく、自分にはさすがに無理です。かなりの勇気が必要です。
そこで1回限り有効な使い捨てクレジットカード番号の利用を考えたものの、これでは二回目の請求 - つまり不正請求 - は検出できないのではないでしょうか。
怪しい業者による不正請求で身に覚えの無い借金を抱えるのは、いかにチャレンジャーな自分と言えども無理。
どうしたものでしょうか。
カードの限度額をかなり低く設定して試せばと?
検証作業を行うためには、一つのクレジットカードで一回の買い物しかできず。
本格的に行うとしたらば幾つもの複数のクレジットカードが必要なため、無理があります。
幾人かと相談したものの、「若いうちの借金は、一生の財産で社会勉強だよハハハ!」とか、そんな感じばかりです。
(いい友人ばかりですね、はい)
いずこかの公的機関や消費者団体などが、このような検証を行っていただけるならばいいんですが。
「詐欺行為」や「不正請求があった」と報告されたようなオンラインショップやモール、ネット上の業者を監視し監督する目的で、試しにクレジットカードにて商品を購入し・なおかつ他には登録していないメールアドレスを投稿し、顧客情報をスパムメール配信業者へ転売したりはしないか、またクレジットカードに不正な架空請求が行われないかを監視、と。
(海外の消費者団体には、このような活動を実際に行って検証しているものがあるそうだ、しかし伝聞であり詳細はわからない)
また悪質な業者 - 詐欺的商法にて感染してもいないのに何かに感染していると不安を煽り、いかがわしいソフトウェアを購入させるような事例にては、ソフトウェア製造元ではなく代理店経由で有料版アカウントを販売する事例を散見する。
(無料版の導入を促し、その後駆除するには有償サービスが必要などと迫る手口など)
これはトカゲの尻尾切りなのだろうか?それとも運営母体は同一なのだろうか?
Posted by Luca at 21:06
│
│
2006年09月06日 - 戦う女管理者って何なのさ
ITmediaにて大変面白い記事があったのだが。
女性システム管理者の憂鬱:戦う管理者が見せる“ふとしたしぐさ” (ITmedia)
mumuワームって、これですよね。
BAT.Mumu.A.Worm(Symantec)、発見日: 2003年6月2日 (米国時間)
検体を所持していないし、再現しろと言われてもとっさには無理があるのだが。
記事中にはWindows XP でユーザー アカウントに最小特権の原則を適用する(Microsoft)、つまり「LUA」(Least User Access)と呼称される「最小特権ユーザー アカウント」 は記載されていない。
またmumuワームって、Administrator権限が無いユーザーアカウントを利用しており、Administratorアカウントが停止・またはログイン名が変更されていたならばどうなるんだろうか。
ついでに言うと、ポリシーを適切に設定していればどうなんだろうか。
パスワードマネージメントのみに留まる問題なんですかね。
大変いい課題をいただきましたので、じっくりと考えてみます。
女性システム管理者の憂鬱:戦う管理者が見せる“ふとしたしぐさ” (ITmedia)
mumuワームって、これですよね。
BAT.Mumu.A.Worm(Symantec)、発見日: 2003年6月2日 (米国時間)
検体を所持していないし、再現しろと言われてもとっさには無理があるのだが。
記事中にはWindows XP でユーザー アカウントに最小特権の原則を適用する(Microsoft)、つまり「LUA」(Least User Access)と呼称される「最小特権ユーザー アカウント」 は記載されていない。
またmumuワームって、Administrator権限が無いユーザーアカウントを利用しており、Administratorアカウントが停止・またはログイン名が変更されていたならばどうなるんだろうか。
ついでに言うと、ポリシーを適切に設定していればどうなんだろうか。
パスワードマネージメントのみに留まる問題なんですかね。
大変いい課題をいただきましたので、じっくりと考えてみます。
Posted by Luca at 22:00
│
│
2006年09月03日 - livedoor Blog開発日記と怨嗟の声
以前より微妙な感覚を感じていたんですが。
何か根本的な部分が間違っているような気がする。
USENプラグインをリリースしました(livedoor Blog 開発日誌)を眺め、微妙な感覚。
どなたかもトラックバックで書いてたけど。
新しいサービスやデザインのテーマやプラグイン、こんなのはどうでもいいんですよ。
現在多くの登録ユーザーが求めているのは、安定稼動・落ちない・不具合が起きないとの、当然の権利です。
このような場ではよく「嫌ならば他所へ行け!」との荒らしのような投稿を見かけますが。
それは違いますって。
こちらは相応の代価を支払い、それに応じた・相応のサービスを求める権利を得ております。
一例として自分は有料サービスを利用しておりますが、アクセス解析画面は何故か以前の日付のデータを取得しようとすれば毎回固まり、まともに利用できません。
(アクセス数は確かに個人ブログとしてはかなり多いんですが、まぁ、はい)
閑話休題。
自分は以前、livedoorBlog登録者をアレできる、下らない問題を発見しまして。
連絡したものの、未だに対処されないんですよね。。。。。。。
これってmemoMLあたりで公開したらば、自分は悪者扱いされるんでしょうか。
何か根本的な部分が間違っているような気がする。
USENプラグインをリリースしました(livedoor Blog 開発日誌)を眺め、微妙な感覚。
どなたかもトラックバックで書いてたけど。
新しいサービスやデザインのテーマやプラグイン、こんなのはどうでもいいんですよ。
現在多くの登録ユーザーが求めているのは、安定稼動・落ちない・不具合が起きないとの、当然の権利です。
このような場ではよく「嫌ならば他所へ行け!」との荒らしのような投稿を見かけますが。
それは違いますって。
こちらは相応の代価を支払い、それに応じた・相応のサービスを求める権利を得ております。
一例として自分は有料サービスを利用しておりますが、アクセス解析画面は何故か以前の日付のデータを取得しようとすれば毎回固まり、まともに利用できません。
(アクセス数は確かに個人ブログとしてはかなり多いんですが、まぁ、はい)
閑話休題。
自分は以前、livedoorBlog登録者をアレできる、下らない問題を発見しまして。
連絡したものの、未だに対処されないんですよね。。。。。。。
これってmemoMLあたりで公開したらば、自分は悪者扱いされるんでしょうか。
Posted by Luca at 21:49
│
│
