アカウント名:
パスワード:
統計法にはこうある。
第五十七条 次の各号のいずれかに該当する者は、二年以下の懲役又は百万円以下の罰金に処する。一 第十七条の規定に違反して、国勢調査その他の基幹統計調査の報告の求めであると人を誤認させるような表示又は説明をすることにより、当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者
いつものネットのノリならばタダのネタで済んだだろうが、国勢調査は寮生活をしている高校生から、土木工事現場でブロック積んでるにーちゃん、道端にいるホームレスのおっちゃん、介護施設にいる100歳越えのばあさんまでに及び、原則全員にこの用紙が配られる件だ。総務省はきっちり告訴して全員厳罰に処するべきだろ。
お札が簡単にコピーできる事を証明しました、等と言ってお札をコピーしてみせればそれは犯罪。確かに簡単に偽サイトを作ることができるかも知れないが、ネタでは済まされない。きちんと吊し上げきっちり罰する事がないと、今後の統計調査をWebで簡便に済ます道が閉ざされることになるぞ。
当該ドメイン [e-kokusei-go.jp]で運営されていたのは、注意喚起を促すサイトだったので、むしろ感謝状を贈るべきです。
もし、株式会社のらねこさんが、このドメインを取得していなかったら、詐欺師が当該ドメインを取得してしまい、フィッシング詐欺に引っかかった人(もしくはURLの入力ミスをした人)が、個人情報や金銭をだまし取っていた恐れがあります。
そもそも、「e-kokusei.go.jp」ドメインを取得するときに、「e-kokusei-go.jp」を取得しておかなかったのが、一般企業では考えられないほど、間抜けなんです。
例えば、株式会社イグザムプゥーという会社が「example.co.jp」を取得するなら、
の4つを取得しておくのは、常識です(全部で年1万円以下)。これらは、フィッシング詐欺対策だけではなく、ユーザーのURL打ち間違いに対する対策にもなります。
予算が潤沢にあるなら、
なども抑えます。無論、予算が不足しているならば TLS の EV 証明書 の方を優先すべきですが。
あと、国勢調査の封筒内の書類に書かれていたURLは「http://」から始まるものでしたが「https://」から始まる TLS の URL にしておくべきだったし、サーバーの証明書が EV 証明書じゃなかったし、統計局側のセキュリティ意識の低さが問題です。
なお、株式会社のらねこさんの行為については、フィッシング詐欺風の画像を用いて、クリックした人に注意喚起の文章を表示しただけで「当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者」には該当しないので、統計法には接触しません。
総務省はe-kokuseigo.jp, e-kokusei.jpなど複数のドメインを取得してます。
個別に注意喚起などせずとも警告を送ったり啓蒙コンテンツを公開すれば良い話。フィッシングに使えるようなドメインなど他にもいくらでもあるのでそのうちの一つだけ取ったところで大した意味は無いです。実際、kokusei.jpとか企業に取られてるしね。
総務省は、この問題のドメインの無償譲渡を受けないらしい。http://www.itmedia.co.jp/news/articles/1509/15/news083_2.html [itmedia.co.jp]
役所で無償譲渡を処理するのってむちゃくちゃ手間だし、20日までで終わるんだし、無償譲渡されても意味ないよね。
フィッシング詐欺に使える類似ドメインは他にも腐るほどあるし、長期にわたって押さえるのでなければ総務省はタッチしない方が良いし。総務省が押さえるべきと判断したドメインは既に押さえてあるわけだし。
これで受け取るようなら、自分が詐欺師だったら次のようにやるね。1. 今回みたいな事をやって総務省に譲る2. 総務省が手放した直後に取得して、詐欺に利用
1と2は同じ組織でなくても良いと言うことと、言われるがままに押さえたら予算がうなぎ登りって事に注意な。
EV 証明書がなんの役に立つのやら。一時的な国勢調査サイトなんて、誰も緑色になるかどうかなんか確認しないでしょう。パンフレットに書いてあったとしても。また、サイトの入り口がhttps://かどうかも、URLを打ち間違えたらほとんど関係ないでしょ。
サイトの入り口がhttps://かどうかも、URLを打ち間違えたらほとんど関係ないでしょ。
サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。
EV 証明書がなんの役に立つのやら。一時的な国勢調査サイトなんて、誰も緑色になるかどうかなんか確認しないでしょう。 パンフレットに書いてあったとしても。
アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。
> サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。
後出しで前提を変えられてもねぇ。あなたは「https で EV証明書だったら」なんて最初に言ってませんよね?トップページを「https」にするだけでフィッシングに効果があると言ってますよね。
> アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。
だから、根本原因を取り除くために少しでも多くのドメインを抑えておくほうが先でしょ?フィッシングに合う人は不注意なんだから、「予算が不足しているならば TLS の EV 証明書 の方を優先すべき」なんて結論にはならないと思うんですけど。
後出しで前提を変えられてもねぇ。あなたは「https で EV証明書だったら」なんて最初に言ってませんよね?
私は『国勢調査の封筒内の書類に書かれていたURLは「http://」から始まるものでしたが「https://」から始まる TLS の URL にしておくべきだったし、サーバーの証明書が EV 証明書じゃなかったし、統計局側のセキュリティ意識の低さが問題です。』と、
と、最初から両方の対策を述べていました。
どちらか一方のみの対策をすれば良いという主張、例えば『「https://」から始まる TLS の URL にするか、サーバーの証明書を EV 証明書にすべきだった』のような発言はしていません。
トップページを「https」にするだけでフィッシングに効果があると言ってますよね。
『トップページを「https」にするだけでフィッシングに効果がある』(協調は引用者)なんて趣旨の発言はしていません。DV証明書は審査無しで数千円以下で取れるので、単独ではフィッシング詐欺対策にはなりえません。
だから、根本原因を取り除くために少しでも多くのドメインを抑えておくほうが先でしょ? フィッシングに合う人は不注意なんだから、「予算が不足しているならば TLS の EV 証明書 の方を優先すべき」なんて結論にはならないと思うんですけど。
両方とも、フィッシング詐欺を防ぐために効果のある対策ですが、より優先度が高いのは EV証明書でしょう。
ユーザーが入力ミスによってアクセスする恐れのあるドメインの大半を取得することは可能ですが、それ以外のドメイン、例えば「e-kokusei.go.jp」に対して、「eservice-kokusei.jp」のようなドメインでフィッシング詐欺サイトを作り、メールやWeb広告などでアクセス誘導が行われた場合などには、紛らわしいドメインを取得するだけでは被害が防げません。
一方、EV証明書は根本的な対策といえるし、その確認方法は同封のパンフレットで周知することができます。
>協調は引用者協調してない。
>DV証明書家族に殴られでもしたんですか?
> の4つを取得しておくのは、常識です> ユーザーのURL打ち間違いに対する対策にもなります。
○○○-co.jp を持ってる企業ってすっげえ少なくね?ユーザの打ち間違い対策にもなるってんだから、nslookupで引けるようにしてるところを探してんだけど今のところ見つけられてない。
結果的に無害だったというだけじゃん。あれで感謝状ってなら、出来が悪くて誰も引っかからない詐欺サイトにも感謝状を送るべきだな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
きっちり罰受けろ (スコア:0)
統計法にはこうある。
第五十七条 次の各号のいずれかに該当する者は、二年以下の懲役又は百万円以下の罰金に処する。
一 第十七条の規定に違反して、国勢調査その他の基幹統計調査の報告の求めであると人を誤認させるような表示又は説明をすることにより、当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者
いつものネットのノリならばタダのネタで済んだだろうが、国勢調査は寮生活をしている高校生から、土木工事現場でブロック積んでるにーちゃん、道端にいるホームレスのおっちゃん、介護施設にいる100歳越えのばあさんまでに及び、原則全員にこの用紙が配られる件だ。
総務省はきっちり告訴して全員厳罰に処するべきだろ。
お札が簡単にコピーできる事を証明しました、等と言ってお札をコピーしてみせればそれは犯罪。確かに簡単に偽サイトを作ることができるかも知れないが、ネタでは済まされない。きちんと吊し上げきっちり罰する事がないと、今後の統計調査をWebで簡便に済ます道が閉ざされることになるぞ。
むしろ感謝状を贈るべき (スコア:5, 興味深い)
当該ドメイン [e-kokusei-go.jp]で運営されていたのは、注意喚起を促すサイトだったので、むしろ感謝状を贈るべきです。
もし、株式会社のらねこさんが、このドメインを取得していなかったら、詐欺師が当該ドメインを取得してしまい、フィッシング詐欺に引っかかった人(もしくはURLの入力ミスをした人)が、個人情報や金銭をだまし取っていた恐れがあります。
そもそも、「e-kokusei.go.jp」ドメインを取得するときに、「e-kokusei-go.jp」を取得しておかなかったのが、一般企業では考えられないほど、間抜けなんです。
例えば、株式会社イグザムプゥーという会社が「example.co.jp」を取得するなら、
の4つを取得しておくのは、常識です(全部で年1万円以下)。これらは、フィッシング詐欺対策だけではなく、ユーザーのURL打ち間違いに対する対策にもなります。
予算が潤沢にあるなら、
なども抑えます。無論、予算が不足しているならば TLS の EV 証明書 の方を優先すべきですが。
あと、国勢調査の封筒内の書類に書かれていたURLは「http://」から始まるものでしたが「https://」から始まる TLS の URL にしておくべきだったし、サーバーの証明書が EV 証明書じゃなかったし、統計局側のセキュリティ意識の低さが問題です。
なお、株式会社のらねこさんの行為については、フィッシング詐欺風の画像を用いて、クリックした人に注意喚起の文章を表示しただけで「当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者」には該当しないので、統計法には接触しません。
せめてwhoisで調べてみるぐらいのことはしよう (スコア:0)
総務省はe-kokuseigo.jp, e-kokusei.jpなど複数のドメインを取得してます。
個別に注意喚起などせずとも警告を送ったり啓蒙コンテンツを公開すれば良い話。
フィッシングに使えるようなドメインなど他にもいくらでもあるのでそのうちの
一つだけ取ったところで大した意味は無いです。
実際、kokusei.jpとか企業に取られてるしね。
Re:せめてwhoisで調べてみるぐらいのことはしよう (スコア:1)
総務省はe-kokuseigo.jp, e-kokusei.jpなど複数のドメインを取得してます。
総務省は、この問題のドメインの無償譲渡を受けないらしい。
http://www.itmedia.co.jp/news/articles/1509/15/news083_2.html [itmedia.co.jp]
Re: (スコア:0)
役所で無償譲渡を処理するのってむちゃくちゃ手間だし、20日までで終わるんだし、無償譲渡されても意味ないよね。
そりゃ受け取る意味も無いし (スコア:0)
フィッシング詐欺に使える類似ドメインは他にも腐るほどあるし、長期にわたって押さえるのでなければ総務省はタッチしない方が良いし。
総務省が押さえるべきと判断したドメインは既に押さえてあるわけだし。
これで受け取るようなら、自分が詐欺師だったら次のようにやるね。
1. 今回みたいな事をやって総務省に譲る
2. 総務省が手放した直後に取得して、詐欺に利用
1と2は同じ組織でなくても良いと言うことと、言われるがままに押さえたら予算がうなぎ登りって事に注意な。
Re: (スコア:0)
EV 証明書がなんの役に立つのやら。一時的な国勢調査サイトなんて、誰も緑色になるかどうかなんか確認しないでしょう。
パンフレットに書いてあったとしても。
また、サイトの入り口がhttps://かどうかも、URLを打ち間違えたらほとんど関係ないでしょ。
Re:むしろ感謝状を贈るべき (スコア:3)
サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。
アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。
Re: (スコア:0)
> サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。
後出しで前提を変えられてもねぇ。あなたは「https で EV証明書だったら」なんて最初に言ってませんよね?
トップページを「https」にするだけでフィッシングに効果があると言ってますよね。
> アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。
だから、根本原因を取り除くために少しでも多くのドメインを抑えておくほうが先でしょ?
フィッシングに合う人は不注意なんだから、「予算が不足しているならば TLS の EV 証明書 の方を優先すべき」なんて結論にはならないと思うんですけど。
後出しで前提を変えていませんが (スコア:3)
私は『国勢調査の封筒内の書類に書かれていたURLは「http://」から始まるものでしたが「https://」から始まる TLS の URL にしておくべきだったし、サーバーの証明書が EV 証明書じゃなかったし、統計局側のセキュリティ意識の低さが問題です。』と、
と、最初から両方の対策を述べていました。
どちらか一方のみの対策をすれば良いという主張、例えば『「https://」から始まる TLS の URL にするか、サーバーの証明書を EV 証明書にすべきだった』のような発言はしていません。
『トップページを「https」にするだけでフィッシングに効果がある』(協調は引用者)なんて趣旨の発言はしていません。DV証明書は審査無しで数千円以下で取れるので、単独ではフィッシング詐欺対策にはなりえません。
両方とも、フィッシング詐欺を防ぐために効果のある対策ですが、より優先度が高いのは EV証明書でしょう。
ユーザーが入力ミスによってアクセスする恐れのあるドメインの大半を取得することは可能ですが、それ以外のドメイン、例えば「e-kokusei.go.jp」に対して、「eservice-kokusei.jp」のようなドメインでフィッシング詐欺サイトを作り、メールやWeb広告などでアクセス誘導が行われた場合などには、紛らわしいドメインを取得するだけでは被害が防げません。
一方、EV証明書は根本的な対策といえるし、その確認方法は同封のパンフレットで周知することができます。
Re: (スコア:0)
>協調は引用者
協調してない。
>DV証明書
家族に殴られでもしたんですか?
Re: (スコア:0)
> の4つを取得しておくのは、常識です
> ユーザーのURL打ち間違いに対する対策にもなります。
○○○-co.jp を持ってる企業ってすっげえ少なくね?
ユーザの打ち間違い対策にもなるってんだから、nslookupで引けるようにしてるところを探してんだけど
今のところ見つけられてない。
Re: (スコア:0)
結果的に無害だったというだけじゃん。
あれで感謝状ってなら、出来が悪くて誰も引っかからない詐欺サイトにも感謝状を送るべきだな。