|
テーマ:私のPC生活(7419)
カテゴリ:日常的な出来事
おいちゃんだよ、ちょっと気になるものを見つけたからまとめてみる。
<最後の方に追記有ります> 世の中にはフィッシング(phishing)サイトというのがある。 超短く単純化して言うと、ユーザーを言葉巧みに誘導して、重要な情報を入力させ、それを集めて悪用する手口の詐欺だ。 例えば… 「セキュリティーの関係で、あなたのカードを再発行しなければいけなくなりました。つきましてはカード番号と有効期限を入力してください」 「いつも○○サービスをご利用いただきありがとうございます。このたび、××という新しくてとても便利なサービスが始まりました。つきましてはこちらのページからログインしてください」 「先日お送りしましたお荷物が、宛先不明で戻ってきてしまいました。再度、こちらのページから住所氏名電話番号を御入力ください」 とか、そんな感じで、ユーザーの情報を引き出そうとするのだ。 それらの悪意のあるフィッシングサイトは、たいてい、既存のサービスに似せたり、URLを工夫して(正規のサイトのプログラムを悪用してページを偽装したりして)、涙ぐましい努力の末、ユーザーに入力を要求してくる。 しかし、今回、おいちゃんが問題だと思うのは、善意的フィッシングサイトと呼べるもの。 一言でいうと、「他社のサービスのアカウント(とパスワード)を要求してくる」。 それらは(多分)善意で、何かしらのサービスを提供する上で致し方なく、他社のサービスのアカウントとパスワードを要求してくるのであろうが、やっている事はフィッシングサイトと同じである。 実例を出そう。 ・ミクシーラボの事例 mixiのサービス内から、足跡を残さずにページを取得してくれるサービスを提供するとし、mixiのアカウントとパスワードを要求した事例。 その後、mixi側の措置により、サービスは停止された。 (今見に行ったら、元気に新しいサービスやってた) 参考:ミクシーラボは株式会社ミクシィとは何の関係もありませんぐらい書けと。 ・FC2ブログのブログお引っ越しサービスの事例 他社のブログサービスからFC2ブログにお引っ越しサービスを提供するとの名目で、様々なサービスのアカウントとパスワードを要求している事例。 Livedoor 側からは、第三者にアカウントとパスワードを渡すのは規約違反であり、ブログお引っ越しサービスなどの名目で集めるのはフィッシング、と指摘されている(おいちゃんもそう思う)。 参考:「ブログの引っ越し」を謳ったフィッシングサイトが登場? トピック内で指摘されているページは移転しており、現在は http://blog.fc2.com/import/import.html にある。 (ちなみに、アメーバブログでも同様の機能が提供されている。インポートに関するヘルプの最下段の注意を読むと、引っ越しの際にほかサービスのパスワードが要求されている事が分かる) ・@Wordのmixi同時投稿の事例 @Wordというブログサービスがある(@Wikiのところがやっている、と言えば通りがいいかもしれない)。 そのサービスで、mixi同時投稿という機能がついた。 @WORDご利用ガイド プラグイン mixi同時投稿 このサービスは、書いたエントリを、mixiの日記にも同時に書き込んでくれるという機能だという。 そしてそのために、mixiのアカウントとパスワードを必要としている。 <ここから追記> このエントリ制作後、プライバシーポリシーがついたとの事、ログインして確認、以下のような文章がありました。 最低限だとは思いますが、明文化できている事に敬意を表してちょっと引用します。 <ここから引用> mixiへの同時投稿機能につきまして 1.mixiへの同時投稿を行う際、mixi公開APIを利用していないため、mixiが認証方法を変更した際に投稿できなくなる場合がございますのでご了承くださいますようよろしくお願い申し上げます。 2.mixiへの同時投稿の設定をする場合、メールアドレスとパスワードを入力しますが、@WORDでは独自の方法で暗号化して保管しております。保管した個人情報はmixiへの同時投稿の時のみ利用させていただきます。(その他用途には一切利用いたしません) <ここまで引用> <ここまで追記> 最後に、これら、善意的フィッシングサイトに共通する問題点を書くよ。 規約違反してるであろう点 たいていのサービスには、パスワードは第三者に漏らすな、という規約がある。 例えば、おいちゃんはこのヌメモを書くにあたって楽天と利用規約をもとに契約している訳だが、ブログお引っ越しサービスなどを提供する第三者にパスワードを渡すのは規約違反だ。 なぜ規約にこのような文章が(必ずと言っていいほど)入っているかというと、責任の所在を明らかにするためだ。 契約者と責任のきりわけをする、当たり前の事だけども、それに必要なのは、契約者しかそのブログをいじる事ができないという大前提だ。 契約してないだろう点 次に、その第三者は、例えばおいちゃんが入力したよその会社のアカウントとパスワードについて、どのように管理するのであろうか(もしくはしないのであろうか)? 本人確認に使用するとしているところもあるけれど、確認が終わったら消去するのだろうか? もちろん、第三者は、その利用規約の中で他社のアカウント及びパスワードの取り扱いについて明文化していない。 それどころか、その情報に関して、プライバシーポリシーが適応されるのかどうか、個人情報なのか、するとそれらは個人情報保護法とかにも関わったりするような気がするけれども、どういうつもりなのだろうか? 悪意のあるフィッシングサイトと実質同じ事をしている点 実際に、言葉巧みに誘導して、よそで使っているアカウントとパスワードを要求するという行為は、悪意が有る無いにかかわらず、フィッシング行為であろう。 明文化された契約も無い情報を渡す場合、「○○は信用できるから」ぐらいしか判断基準は無いが、それで大丈夫なのか? SpamSniper PE 2008 【個人・SOHO 3アカウント版】 ↑正直、使った事無いけど、安いしペイジアンフィルタ搭載だし、良さそうなので貼ってみた。 お気に入りの記事を「いいね!」で応援しよう
最終更新日
2008.04.18 23:19:23
コメント(0) | コメントを書く
[日常的な出来事] カテゴリの最新記事
|