パスワードを忘れた? アカウント作成
12515041 story
セキュリティ

国勢調査オンラインのフィッシングサイトが登場 103

ストーリー by hylom
やり過ぎ 部門より
あるAnonymous Coward 曰く、

今年行われている国勢調査ではPCやスマートフォンなどでの回答が可能になっているが、その国勢調査オンライン回答サイトのフィッシングサイトが発見された。偽サイトのアドレスは http://www.e-kokusei-go.jp/ で、本物のサイト(http://www.e-kokusei.go.jp/)のドメインと見分けがつきにくい。

偽サイトのトップページは1つの画像で構成され、クリックすると「このサイトは偽サイトです。気をつけてください。正しいサイトは下記です。http://www.e-kokusei.go.jp/」というページが表示される。ドメインの登録社名は株式会社のらねこ、となっている。

これから回答される方は、調査員から受け取った書類で十分にドメインを確認してアクセスされたい。

なお、すでに上記のサイトは削除されており、アクセスすると「関係者の皆様をはじめ、多くの皆様に多大なご迷惑とご心配をおかけし、誠に申し訳ございません。総務省統計局のご担当者様ともお話をさせていただき、当該ページを全てを削除いたしました。」とのメッセージが表示されるようになっている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 国勢調査、封せず個人情報配布 IDなど盗み見の恐れ
    http://www.asahi.com/articles/ASH9G51FDH9GUUPI001.html [asahi.com]

    最初にアクセスしたときに初回アクセスであることを確認する必要があるね。
    仮パスワードなので再度ログインするにはパスワード設定の必要があったはず。

    • IDとパスワードが第三者に知られると、(中略)回答済みの個人情報を盗み取られる恐れもあり

      回答の送信時に、「英字と数字が混在した8文字以上32文字以内の半角英数字」( @ # $ = - などの記号も使用可)のユーザーが入力したパスワードへの変更を強制されるので、初期パスワードを知られたところで「回答済みの個人情報を盗み取られる」ことはありません。「初期パスワード」と同じパスワードにすることもできません。

      そんなことは、実際に国勢調査のシステムを利用してみるだけで分かることなのに、不安を煽るような記事を書いて注目を集めようとするとは、大手新聞社もまとめブログと同じところまで成り下がってしまったようですね。

      なお、「パスワード」とは「初期パスワード」ではなく「ユーザー設定のパスワード」のことであるという言い訳も文脈から判断して苦しいと思います。

      親コメント
      • by Anonymous Coward

        自分の頭で考えないで脊髄反射で「ID、パスワードは保護されなきゃいかん」ってなってんだろうな

        • by Anonymous Coward

          アカウントを乗っ取られるっていうリスクにまで頭がまわらないのかな?
          こういう奴が今回みたいな杜撰な対応したり、セキュリティを甘くみて
          情報漏洩やったりするんだろうな。

      • by Anonymous Coward

        記事前半の「他人のふりして回答」は確かにできるけど、愉快犯以外でなりすましのメリットは何かあるのだろうか。

    • by Anonymous Coward on 2015年09月15日 12時22分 (#2882951)

      再度ログインする時ではなくて、回答を提出するボタンを押したときにパスワード設定の必要があります。
      従って、仮パスワードが漏れても個人情報は漏れません。

      朝日のタイトルは釣りですね。全く個人情報は配布してませんから。
      問題は、いたずらで成りすましされることぐらいではないでしょうか。

      # 個人的には、面倒になった調査員が成りすまし回答するんじゃないかということが一番心配です。

      親コメント
    • by Anonymous Coward on 2015年09月15日 12時21分 (#2882949)

      >手渡しが原則
      それなら簡易書留などにすべきだったんでは。
      今までの国勢調査とは違うことを総務省が認識してなかった。

      てかあの封筒でかいよ折ってもいい中身なんだから。
      その時点で思案が足りないだろう。

      親コメント
      • > >手渡しが原則
        > それなら簡易書留などにすべきだったんでは。
        いや、住所や名前がわかっているわけではないですので。
        手渡しされずにポストに見えるように入っていましたよ。

        親コメント
      • by Anonymous Coward on 2015年09月15日 12時33分 (#2882962)

        簡易書留で大量に行政文書を送ると、受け取り期限過ぎで大量に戻ってくるから大変なんですよ。
        結局、普通郵便で送ることになりますし。

        # 国勢調査が郵送でできるのなら調査員いらないからという突っ込みもありますが。

        親コメント
      • by Anonymous Coward

        ホームレスさんや住民不定のみなさんも調査対象ですよ。

      • by Anonymous Coward

        >それなら簡易書留などにすべきだったんでは。
        住所もよくわからん人も含めての調査なんだし。
        町内のことはよく知ってるだろう、って前提で町内会長さんが調査員に自動的に
        任命されて封筒もって町内を行ったり来たり。

      • by Anonymous Coward
        長形3号封筒だったら、こんな問題は起きなかったのに
        あのでかい封筒である理由が分からん
  • by Anonymous Coward on 2015年09月15日 12時17分 (#2882947)

    【偽物】国勢調査2015 キャンペーンサイト
    http://kokusei2015.statgo.jp/ [statgo.jp]

    【本物】国勢調査2015 キャンペーンサイト
    http://kokusei2015.stat.go.jp/ [stat.go.jp]

  • ○すでに上記の内容は削除されており

    サイトにアクセスできるんだから、削除はされてないでしょう。
    サイトを削除というのは、404が返る状態では?

  • by Anonymous Coward on 2015年09月15日 12時22分 (#2882950)

    lsに対するslコマンドを思い出しました
    # トピックの文章を読む限りは、おっちょこちょいさんやおばかさんを教育する目的だったようだが、怒られちゃうんですね…

    • そりゃ怒られる。
      こんなのが当たり前になったら教育目的のふりをしたフィッシングサイトが野放しになる。
      最初は大丈夫でも途中でリンク差し替えるかもしれないし。

      例え善人だったとしてもこんな配慮の足りない行為をする組織や人物に、十分なセキュリティが
      担保できると期待するのも間違ってる。

      # 「よかれと思って」「お前の為なんだぞ」だって一応善意から出てはいる。

      • こんなのが当たり前になったら教育目的のふりをしたフィッシングサイトが野放しになる。

        フィッシング詐欺を防ぐために一番必要なのは、ユーザーに対する教育なんですよ。

        ドメイン名や、EV証明書の確認(アドレスバーの色や組織名の確認など)のやり方を、ユーザーが知らない状況では、事業者側がどんなに頑張ったところでフィッシング詐欺はなくなりません。

        「教育目的のふりをしたフィッシングサイトが野放しになる」ことよりも、「フィッシング詐欺に遭わないための知識をユーザーが得られない」ことの方が遥かに問題です。

        部外者ができる技術的に有効なフィッシング詐欺対策としては、株式会社のらねこさんのやり方は最善だったと思います。

        例え善人だったとしてもこんな配慮の足りない行為をする組織や人物に、十分なセキュリティが 担保できると期待するのも間違ってる。

        じゃあ、どうすれば良かったんですか?

        詐欺師に取られないように当該ドメインを取得してから原価で統計局に譲ろうとしても「恐喝してドメインを売りつけようとした」と言われそうですし。

        汎用jpドメインは早い者勝ちで機械的に取れてしまいますので、株式会社のらねこさんが当該ドメインを取得してなかったら、本当の詐欺師が取得して詐欺をしていたかもしれません。統計局に「詐欺に使われる恐れがあるから e-kokusei-go.jp も取得すべきだ」と意見したところで、どうするか会議にかけている間に詐欺師にドメインが取得されてしまう恐れがあります。

        親コメント
        • by Anonymous Coward

          なんだか押しつけがましい人だなあ。

          > じゃあ、どうすれば良かったんですか?

          誰も「株式会社のらねこ」に何かしてくれなんて頼んでないよ。

          • 誰も「株式会社のらねこ」に何かしてくれなんて頼んでないよ。

            残念なことに、偶然見つけてしまったWebアプリケーションの脆弱性を親切に報告してあげても、似たようなことを言い出す企業・団体が多いんですよね。

            善意で社会に有益な活動をした結果、犯罪者扱いされるような風潮が広まると、困ったときにも誰も助けてくれないような社会になってしまいますよ。既に、日本もそうなりつつありますが。

            今回の件では「株式会社のらねこ」の行動によって、フィッシング詐欺について新聞等が報道することになり、多くの国民が紛らわしいWebサイトを作って個人情報を窃取する犯罪があることを知ることができました。それにより、フィッシング詐欺に騙される人を減らす効果が得られるため、社会にとって有益だと思われます。

            親コメント
            • by Anonymous Coward

              > 多くの国民が紛らわしいWebサイトを作って個人情報を窃取する犯罪があることを知ることができました。

              そうかなあ、多くの国民っていうほどアクセスされたのかなあ。
              で、誤ってアクセスした人は(いたとして)フィッシング詐欺の存在を知ることなんでできたのかなあ。
              「なにこの紛らわしいいたずら迷惑ねぷんぷん」でおしまいでしょ。

              なにもかもがあなたの「期待」の域を出ない話で「社会にとって有益だ」なんて言われても説得力のかけらもないよ。

              #なんで藪から棒にWebアプリの脆弱性の話が出てきたのだろう。

        • by Anonymous Coward

          フィッシングに使えそうなドメインを全て取得して、国勢調査が終わるまで放置しておけば良いのでは?
          偽サイトを作らなくても別の手段で教育できるでしょ?

          # あと、擁護するにしても、著作権法的に真っ黒だと思いますけどね。

          • by Anonymous Coward
            真っ白だよ。行政機関に著作権はないんだから。
      • by Anonymous Coward

        フィッシングに気を付けろとか言っても、どんなものか示さないといつまで経ってもわからんし。
        ほれ、こんなのがフィッシングサイトなんだという実例サイトを政府が用意するのが一番いい。

        でもやらないんだよな。

    • by Anonymous Coward

      というか、WEBブラウザの開始ページ(GoogleだったりYahooだったりBingだったり)にキーワードを入れて始める、というカジュアルインターネットユーザーに、「http://...」とアドレスバーに正確に入力させるのは結構ハードルが高いと思いました。

      #自分もそうですが、スペルとかけっこう適当にGoogleに入力してしまえば、よろしく正しいURLに誘導してくれる機能に慣れ切っています。

      スマホだとQRコードがあるので、PCでも同様のサービスとか、もっと短いURLで済むようにするとか工夫が必要だと思います。

  • by Anonymous Coward on 2015年09月15日 12時26分 (#2882955)

    統計法にはこうある。

    第五十七条  次の各号のいずれかに該当する者は、二年以下の懲役又は百万円以下の罰金に処する。
    一  第十七条の規定に違反して、国勢調査その他の基幹統計調査の報告の求めであると人を誤認させるような表示又は説明をすることにより、当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者

    いつものネットのノリならばタダのネタで済んだだろうが、国勢調査は寮生活をしている高校生から、土木工事現場でブロック積んでるにーちゃん、道端にいるホームレスのおっちゃん、介護施設にいる100歳越えのばあさんまでに及び、原則全員にこの用紙が配られる件だ。
    総務省はきっちり告訴して全員厳罰に処するべきだろ。

    お札が簡単にコピーできる事を証明しました、等と言ってお札をコピーしてみせればそれは犯罪。確かに簡単に偽サイトを作ることができるかも知れないが、ネタでは済まされない。きちんと吊し上げきっちり罰する事がないと、今後の統計調査をWebで簡便に済ます道が閉ざされることになるぞ。

    • by Printable is bad. (38668) on 2015年09月15日 12時42分 (#2882977)

      当該ドメイン [e-kokusei-go.jp]で運営されていたのは、注意喚起を促すサイトだったので、むしろ感謝状を贈るべきです。

      もし、株式会社のらねこさんが、このドメインを取得していなかったら、詐欺師が当該ドメインを取得してしまい、フィッシング詐欺に引っかかった人(もしくはURLの入力ミスをした人)が、個人情報や金銭をだまし取っていた恐れがあります。

      そもそも、「e-kokusei.go.jp」ドメインを取得するときに、「e-kokusei-go.jp」を取得しておかなかったのが、一般企業では考えられないほど、間抜けなんです。

      例えば、株式会社イグザムプゥーという会社が「example.co.jp」を取得するなら、

      • exampleco.jp
      • example-co.jp
      • example.com
      • example.net

      の4つを取得しておくのは、常識です(全部で年1万円以下)。これらは、フィッシング詐欺対策だけではなく、ユーザーのURL打ち間違いに対する対策にもなります。

      予算が潤沢にあるなら、

      • example.info
      • e-example.jp
      • www-example.jp
      • web-example.jp
      • example-web.jp
      • example-direct.jp

      なども抑えます。無論、予算が不足しているならば TLS の EV 証明書 の方を優先すべきですが。

      あと、国勢調査の封筒内の書類に書かれていたURLは「http://」から始まるものでしたが「https://」から始まる TLS の URL にしておくべきだったし、サーバーの証明書が EV 証明書じゃなかったし、統計局側のセキュリティ意識の低さが問題です。

      なお、株式会社のらねこさんの行為については、フィッシング詐欺風の画像を用いて、クリックした人に注意喚起の文章を表示しただけで「当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者」には該当しないので、統計法には接触しません。

      親コメント
      • 総務省はe-kokuseigo.jp, e-kokusei.jpなど複数のドメインを取得してます。

        個別に注意喚起などせずとも警告を送ったり啓蒙コンテンツを公開すれば良い話。
        フィッシングに使えるようなドメインなど他にもいくらでもあるのでそのうちの
        一つだけ取ったところで大した意味は無いです。
        実際、kokusei.jpとか企業に取られてるしね。

      • by Anonymous Coward

        EV 証明書がなんの役に立つのやら。一時的な国勢調査サイトなんて、誰も緑色になるかどうかなんか確認しないでしょう。
        パンフレットに書いてあったとしても。
        また、サイトの入り口がhttps://かどうかも、URLを打ち間違えたらほとんど関係ないでしょ。

        • サイトの入り口がhttps://かどうかも、URLを打ち間違えたらほとんど関係ないでしょ。

          サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。

          EV 証明書がなんの役に立つのやら。一時的な国勢調査サイトなんて、誰も緑色になるかどうかなんか確認しないでしょう。
          パンフレットに書いてあったとしても。

          アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。

          親コメント
          • by Anonymous Coward

            > サイトの入り口が https で EV証明書 だったら、URLを打ち間違えた場合にアドレスバーが緑色になりません(詐欺師が紛らわしいドメイン名・組織名でEV証明書の審査に通過するケースは皆無)。それにより、詐欺サイトであると気が付かせることができます。

            後出しで前提を変えられてもねぇ。あなたは「https で EV証明書だったら」なんて最初に言ってませんよね?
            トップページを「https」にするだけでフィッシングに効果があると言ってますよね。

            > アドレスバーが緑色になることと、ブラウザのアドレスバーに表示される「組織名」の確認をするようにパンフレットに書いておくことで、少なくともパンフレットをきちんと読んだ人がフィッシング詐欺に騙されるのを防ぐことができます。

            だから、根本原因を取り除くために少しでも多くのドメインを抑えておくほうが先でしょ?
            フィッシングに合う人は不注意なんだから、「予算が不足しているならば TLS の EV 証明書 の方を優先すべき」なんて結論にはならないと思うんですけど。

            • 後出しで前提を変えられてもねぇ。あなたは「https で EV証明書だったら」なんて最初に言ってませんよね?

              私は『国勢調査の封筒内の書類に書かれていたURLは「http://」から始まるものでしたが「https://」から始まる TLS の URL にしておくべきだったし、サーバーの証明書が EV 証明書じゃなかったし、統計局側のセキュリティ意識の低さが問題です。』と、

              • 「https://」から始まる TLS の URL にしておくべきだった
              • サーバーの証明書を EV 証明書にするべきだった

              と、最初から両方の対策を述べていました。

              どちらか一方のみの対策をすれば良いという主張、例えば『「https://」から始まる TLS の URL にするか、サーバーの証明書を EV 証明書にすべきだった』のような発言はしていません。

              トップページを「https」にするだけでフィッシングに効果があると言ってますよね。

              『トップページを「https」にするだけでフィッシングに効果がある』(協調は引用者)なんて趣旨の発言はしていません。DV証明書は審査無しで数千円以下で取れるので、単独ではフィッシング詐欺対策にはなりえません。

              だから、根本原因を取り除くために少しでも多くのドメインを抑えておくほうが先でしょ?
              フィッシングに合う人は不注意なんだから、「予算が不足しているならば TLS の EV 証明書 の方を優先すべき」なんて結論にはならないと思うんですけど。

              両方とも、フィッシング詐欺を防ぐために効果のある対策ですが、より優先度が高いのは EV証明書でしょう。

              ユーザーが入力ミスによってアクセスする恐れのあるドメインの大半を取得することは可能ですが、それ以外のドメイン、例えば「e-kokusei.go.jp」に対して、「eservice-kokusei.jp」のようなドメインでフィッシング詐欺サイトを作り、メールやWeb広告などでアクセス誘導が行われた場合などには、紛らわしいドメインを取得するだけでは被害が防げません。

              一方、EV証明書は根本的な対策といえるし、その確認方法は同封のパンフレットで周知することができます。

              親コメント
    • Re:きっちり罰受けろ (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2015年09月15日 12時41分 (#2882975)

      今回の件は、条文の後半「当該求めに対する報告として、個人又は法人その他の団体の情報を取得した者」に該当しないのでは。

      親コメント
      • by Anonymous Coward

        しかも偽サイトであることを名乗っているので、誤認させてすらいない。

    • いやこの感覚が全く理解できない……。
      個人情報の取得を行っていないサイトをフィッシングと称すること自体が根本的に間違っていると思うのだけど、こうやって条文調べて該当要件まで見てるのに、どうして「個人情報の入力を求められたのか」を確認しないんだろうかと……。

      インターネット国勢調査でIDとパスワードと呼ばれているものは、送付された時点では個人情報とは全く紐付いていない。個人情報と紐付くのはパスワードを変更したその後の話になる。

      手順としては

      (1) IDと初期パワスワードだけが書かれている紙っきれとパンフレットがポストに放り込まれる
      (2) 対象者はパンフレットに記載されているURLにアクセスする
      (3) IDと初期パスワードでログインする
      (4) パスワードを変更する
      (5) 調査に回答。その中で名前や住所などの個人情報を入力
      (6) 回答した内容を修正したり参照したい場合は、変更後のパスワードでログインして確認する

      という手順になっている。つまり、実際に国勢調査内の項目に回答するまでは個人情報は一切入力を求められないし、IDも他のデータと紐付くような情報でもない。
      だから、(2)と(3)の間で「ここは偽サイトです」と表示して本物のサイトに転送する件のサイトでは個人情報の入力は行われないしIDもパスワードも収集できない。一般的にこういうサイトをフィッシングサイトとは呼ばない。
      つまり、国勢調査オンラインのフィッシングサイトは登場していない。このストーリーのタイトルが根本的に間違っているので修正すべきだと思う。

      ちなみに、初期パスワードが他人に漏れたとしても

      パターンA:国勢調査回答前の状態
       初回ログオンなのでパスワードの変更を要求される→パスワード変えると肝心の本人がログインできないので情報が入力できなくなる。なので、なんの情報も得られない(なりすましの嫌がらせにはなる、と言われてる状況がこれ)

      パターンB:国勢調査回答後の状態
       パスワードはすでに変更されている→漏れたパスワードではログインできない。何かしたければ別途パスワードをソーシャルハッキングなどの手段で入手する必要がある。パスワードが破られるとアウトなわけだけど、それは初期パワスワード漏洩とは全く関係がない問題。

      のどちらかになる。
      ちなみに、パンフの手順通りなら、そもそもURLを直打ちするか、QRコードでアクセスしないといけないので、第三者に紛らわしいURLの偽のリンクを踏まされるなんてことが発生する余地はない。
      なので、初期パスワードの送付時の扱いがぞんざいであること自体には特に問題はない。

      httpのサイトで個人情報の入力を要求されるって盗聴されるじゃん、みたいなちょっとどうかと思う点はあるんだけど、この件自体は「いや、騒ぐところはそこじゃないだろ」という感想しかうかばない……。

      親コメント
    • by Anonymous Coward

      それって情報取得までしないと当てはまらないんでないの?

    • by Anonymous Coward

      未遂罪が規定されていないから罰しようがないのでは。
      強いていうと、類似ドメインの不正取得で不正競争防止法違反だと思いますが、
      この場合の「競争」って何?

    • by Anonymous Coward

      「個人又は法人その他の団体の情報を取得した者」まではしてないから罪には問えないだろうし、なにより実害がない。

      #理由と主張が繋がってないから他はノーコメで

  • by Anonymous Coward on 2015年09月15日 12時30分 (#2882957)

    SRADがslad.jpまでも取得したのはフィッシング対策だったのか。

    • by Anonymous Coward

      普通に誤入力防止でしょw

      SlashDotをSRADにしたんだから、そりゃあ打ち間違いは想定しないと。

    • by Anonymous Coward

      ためしにやってみたら、
      srad.comもslad.comも別サイトだった。
      そこまでは取れなかった(取らなかった?)模様。

  • by Anonymous Coward on 2015年09月15日 12時45分 (#2882980)

    次はe-kokusai-go.jpかe-kokusei-G0.JPか。国勢調査.東京.jpもあいてるらしいよ。
    そろそろドメインの種別毎にレベル分けして、わかりやすい表示とかしても良いんじゃないかなぁ。
    #え、EV?
    ##でも真面目な話、ICANNルートの政府系とかあっても良い気がするけどなぁ

    • by Anonymous Coward

      初回にわざと間違えて正しくないと出るかどうか。

      • by Printable is bad. (38668) on 2015年09月15日 13時09分 (#2883011)

        初回にわざと間違えて正しくないと出るかどうか。

        間違ったIDや初期パスワードを入力して「IDか初期パスワードが違います」と表示されたら、正規サイトだとみなして、正しいIDと初期パスワードを入力してログインするということですか?

        中継型のフィッシング詐欺サイト(プロキシサーバのように動作)を防げないので、そういった対策はやめた方が良いです(最近のフィッシング詐欺は巧妙です)。

        親コメント
      • by Anonymous Coward

        自動化できると良いけどね。

  • by Anonymous Coward on 2015年09月15日 13時09分 (#2883010)

    税金の無駄でしょう。やめたほうがいい。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...