つい先日セキュアなプログラミング本ってここらへんかなー、というエントリを書いたら、第二版が出たそうでヽ(´ー`)ノ。動物的カンってヤツなのかなあ。
怪しいメール
さっき、
From: 三協精機株式会社
Subject: 御当選通知 三協精機(株)よりお知らせ
ってとこからメール来た。
怪しさ大爆発ヽ(´ー`)ノ
この度は、テブラコール推進キャンペーンご応募有難う御座いました。
約42万通の多数のご応募の中から厳正なる抽選の結果、
ホンダ・ステップワゴン(ハッピーエディションG−2.0 FF)
御当選されましたのでご連絡させていただきます。
後程、当社担当よりご連絡を差し上げますので
下記URLよりお手続き下さい。
http://www.formzu.com/formgen.cgi?ID=8465565
この度は誠におめでとうございました。
だいたい、あちきが誰なのかって書いてないところが怪しいよね(苦笑)。
JavaとJavaScript抜きで上記ページにアクセスしたらこんな感じですた。
ちなみに、http://www.formzu.com/にアクセスすると、まじめにサービスやってるっぽいサイトに見えますね。っていうか、トップページにこう書いてある。
■Yahoo!BBを騙るメールについて
Yahoo!BBからの当選通知を騙ったメールを送り、当方のサービスを悪用して個人情報を集める事例が発生しております。このフォームについては、利用規約第3条により、先日、強制削除を行っております。このメールと当サイトとは直接的な関係は全くありません。そのため、このメールに関するお問合わせはお答えができませんので、ご了承ください。また、このような犯罪行為を行うユーザ様には、今後、法的措置も含めた対応を行います。
お知らせしようかと思ったけどまーこのサービスしてる人もグルかも知れないしねえ。そういうときに何を見て判断すれば良いのでしょうかね?
追記:今確かめてみたら、http://www.formzu.com/に、
■三協精機(株)を騙るメールについて
下記のYahoo!BBと同様の手口で三協精機(株)を名乗るのメールが出回っております。こちらも個人情報収集を目的とするものです。現在、このフォームの作成者の特定作業中です。
と、出てますね。手の込んだ釣りということも可能性としてはあるけど、でも釣ってどうする?ってなことを現実的に考えるとまあ、このフォームズというサイトは信用できるのかな。
さらに追記:ちなみにこの情報を掲載したときはあまり詳しく書かなかったけど、上記住所入力ページのソースを見たところ、JavaとかJavaScriptを入れてアクセスしても多分大丈夫な感じですた。入力フォームに情報を入れて、それからボタンを押して情報を確認して送信、という作りになってたみたいで、トップページの能書きを読む限りでは、送信フォームのところでメールアドレスはいきなりソースに書かれていたりするってなことは無さそうですね。
っていうか今確認しようとしたらもう削除されてて残ってないし、あちきもさっき別のヤヴァイとこにアクセスするんでキャッシュ消しちゃったから手元にないしなあ。ちゃんと保存しときゃよかったかな。
送信者認証技術の導入におけるレコメンデーション
セキュmemo経由でこういう文書を見ていて、昨日某所で放言していたことを思い出した。電子メールのインフラに認証は確かに必要なのだけど、送信者認証ってのはなかなか難しいかも。しかし、フィッシングにしろSPAMにしろ、メールがその大きなきっかけを担ってしまっているわけだし、やっぱメールのインフラを何とかしたい。で、サーバー同士がホワイトリストベースでやりとりする会員制クラブチックな認証(とまで行かなくてもいいかも)ってあると良いのかなあ。認証ってーとおおげさになるんだけど、もっと簡単に、ドメインを正式に取得していて、いかなる意味でも詐称をせずにメールのやり取りを行えることが確認されると、正式メールサーバーとしてデビューできるとかね。そういうのってどうなのかなあ。
もーひとつは、自分のドメインとFromの情報によるチェックとか、そういうのくらい実装するのはどうなのかなあ>メールサーバー。
問題なのは自分の身元を明らかにせずにメールを大量に送信する手段が多い、ということなので、もちっと情報をやり取りすることで手段を一つでも減らせればなあ、という気はしますねえ。
ここらあたり、もう少し掘り下げてみるかなあ?
なんとなく画像貼ってみた(笑)。
