パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

国勢調査オンラインのフィッシングサイトが登場」記事へのコメント

  • by Anonymous Coward

    統計法にはこうある。

    第五十七条  次の各号のいずれかに該当する者は、二年以下の懲役又は百万円以下の罰金に処する。
    一  第十七条の規定に違反して、国勢調査その他の基幹統計調査の報告の求めであると人を誤認させるような表示又は説明をすることにより、当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者

    いつものネットのノリならばタダのネタで済んだだろうが、国勢調査は寮生活をしている高校生から、土木工事現場でブロック積んでるにーちゃん、道端にいるホームレスのおっちゃん、介護施設にいる100歳越えのばあさんまでに及び、原則全員にこの用紙が配られる件だ。
    総務省はきっちり告訴して全員厳罰に処するべきだろ。

    お札が簡単にコピーできる事を証明しました、等と言ってお札をコピーしてみせればそれは犯罪。確かに簡単に偽サイトを作ることができるかも知れないが、ネタでは済まされない。きちんと吊し上げきっちり罰する事がないと、今後の統計調査をWebで簡便に済ます道が閉ざされることになるぞ。

    • 当該ドメイン [e-kokusei-go.jp]で運営されていたのは、注意喚起を促すサイトだったので、むしろ感謝状を贈るべきです。

      もし、株式会社のらねこさんが、このドメインを取得していなかったら、詐欺師が当該ドメインを取得してしまい、フィッシング詐欺に引っかかった人(もしくはURLの入力ミスをした人)が、個人情報や金銭をだまし取っていた恐れがあります。

      そもそも、「e-kokusei.go.jp」ドメインを取得するときに、「e-kokusei-go.jp」を取得しておかなかったのが、一般企業では考えられないほど、間抜けなんです。

      例えば、株式会社イグザムプゥーという会社が「example.co.jp」を取得するなら、

      • exampleco.jp
      • example-co.jp
      • example.com
      • example.net
      • by Anonymous Coward

        EV 証明書がなんの役に立つのやら。一時的な国勢調査サイトなんて、誰も緑色になるかどうかなんか確認しないでしょう。
        パンフレットに書いてあったとしても。
        また、サイトの入り口がhttps://かどうかも、URLを打ち間違えたらほとんど関係ないでしょ。

        • サイトの入り口がhttps://かどうかも、URLを打ち間違えたらほとんど関係ないでしょ。

          サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。

          EV 証明書がなんの役に立つのやら。一時的な国勢調査サイトなんて、誰も緑色になるかどうかなんか確認しないでしょう。
          パンフレットに書いてあったとしても。

          アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。

          • by Anonymous Coward on 2015年09月15日 13時54分 (#2883058)

            > サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。

            後出しで前提を変えられてもねぇ。あなたは「https で EV証明書だったら」なんて最初に言ってませんよね?
            トップページを「https」にするだけでフィッシングに効果があると言ってますよね。

            > アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。

            だから、根本原因を取り除くために少しでも多くのドメインを抑えておくほうが先でしょ?
            フィッシングに合う人は不注意なんだから、「予算が不足しているならば TLS の EV 証明書 の方を優先すべき」なんて結論にはならないと思うんですけど。

            親コメント
            • 後出しで前提を変えられてもねぇ。あなたは「https で EV証明書だったら」なんて最初に言ってませんよね?

              私は『国勢調査の封筒内の書類に書かれていたURLは「http://」から始まるものでしたが「https://」から始まる TLS の URL にしておくべきだったし、サーバーの証明書が EV 証明書じゃなかったし、統計局側のセキュリティ意識の低さが問題です。』と、

              • 「https://」から始まる TLS の URL にしておくべきだった
              • サーバーの証明書を EV 証明書にするべきだった

              と、最初から両方の対策を述べていました。

              どちらか一方のみの対策をすれば良いという主張、例えば『「https://」から始まる TLS の URL にするか、サーバーの証明書を EV 証明書にすべきだった』のような発言はしていません。

              トップページを「https」にするだけでフィッシングに効果があると言ってますよね。

              『トップページを「https」にするだけでフィッシングに効果がある』(協調は引用者)なんて趣旨の発言はしていません。DV証明書は審査無しで数千円以下で取れるので、単独ではフィッシング詐欺対策にはなりえません。

              だから、根本原因を取り除くために少しでも多くのドメインを抑えておくほうが先でしょ?
              フィッシングに合う人は不注意なんだから、「予算が不足しているならば TLS の EV 証明書 の方を優先すべき」なんて結論にはならないと思うんですけど。

              両方とも、フィッシング詐欺を防ぐために効果のある対策ですが、より優先度が高いのは EV証明書でしょう。

              ユーザーが入力ミスによってアクセスする恐れのあるドメインの大半を取得することは可能ですが、それ以外のドメイン、例えば「e-kokusei.go.jp」に対して、「eservice-kokusei.jp」のようなドメインでフィッシング詐欺サイトを作り、メールやWeb広告などでアクセス誘導が行われた場合などには、紛らわしいドメインを取得するだけでは被害が防げません。

              一方、EV証明書は根本的な対策といえるし、その確認方法は同封のパンフレットで周知することができます。

              親コメント
              • by Anonymous Coward

                >協調は引用者
                協調してない。

                >DV証明書
                家族に殴られでもしたんですか?

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...