IPA、ブラウザの通知機能を悪用する手口が増加と警告。安易に通知を許可しないよう求める 39
ストーリー by nagazou
あの通知機能を使ってる人ってどれくらいいるのだろうか 部門より
あの通知機能を使ってる人ってどれくらいいるのだろうか 部門より
情報処理推進機構(IPA)が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる(IPA、TECH+)。
- CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
- 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
- 通知表示をクリックさせ、不審なサイトへ誘導する
むしろ (スコア:1)
「パソコンがウイルスに感染した」みたいややつ以外でブラウザの通知機能が動作したことがない
Re:むしろ (スコア:2)
なんか間違ってOK押しちゃったみたいで新聞社の通知がポコポコ出てました
すぐ消したけど
Re:むしろ (スコア:1)
許可してないのにそれ系のメッセージが出てきて困ったことがある
つい先日、rsafrwd.com てところから adverdirect.com に飛ばされて、さらに complexity393.ga に飛ばされたら
そこがPDFで印刷するダイアログともう1つ何だったか忘れたけど、交互にダイアログを出す無限ループに陥った
キャンセルしても即座にもう1つのダイアログが開くのでそのタブを閉じることができない
ブラウザの閉じるボタンも押せないので、タスクマネジャー開いてブラウザを強制終了して
上記URLをhostsファイルにローカルホスト登録して読み込ませないようにして再起動したんだけど
まだキャッシュに残ってて同じ現象
これを何回かやったら終了時のタブを開くか確認する画面が出たときがあったので
すかさずキャッシュをクリアしてようやく事なきを得た
長らく更新なくて放置されてるサイトがこういう有害広告サイトに誘導してくる場合があるから要注意だ
Re: (スコア:0)
Esc連打しながらタブを閉じる
Re: (スコア:0)
それが効かないレベルのタイミングで次々とダイアログが開いたから難儀したんだ
Re: (スコア:0)
Ctrl+F4 を押しっぱなしで OK
Re: (スコア:0)
Re: (スコア:0)
いつの間にかドメインが失効していて乗っ取られたりね。
# 正式な手続きで取得しただけであり乗っ取ったとか言われるのは心外だろうが
Re: (スコア:0)
メニューのヘルプの下に詐欺サイトの報告もあるので活用しよう
通知機能って使ってる人いるの? (スコア:0)
通知無効設定方法 chrome [google.com] edge [fmworld.net]
#不審なサイトへ誘導するという「ロボットでないなら通知許可を」系は不審なサイトでしか表示されない。卵が先か鶏が先か状態
Re:通知機能って使ってる人いるの? (スコア:1)
Webメールの着信通知で使ってる
Re:通知機能って使ってる人いるの? (スコア:1)
Slackの新着通知に使ってます。
以前はWindowsネイティブのSlackアプリ使ってたけど、
Webベースでも機能的に遜色なかったので今はWebベース。
Re:通知機能って使ってる人いるの? (スコア:1)
踊らせたい人と
踊らされたい人
世の中の大半はこのどっちかですよ
プッシュ情報なんて
余計なもの以外が有る方が稀だから
プルした以外の情報はいらん
なんてのは逸般人だけですって
一般人は取捨選択の責任を誰かに転嫁しないと耐えられないんですから
Re: (スコア:0)
chatworkの通知で使ってる。
普段はテレワークでサボってるんだけど、ピローンと通知が来たら
さも「ええサボってませんよ」とばかりに返事を返す。
Re: (スコア:0)
Youtubeのライブ配信開始通知はありがたい
それ以外は許可要求してくるサイト自体見かけない…
Re: (スコア:0)
ええっ?
ニュースサイトとかやたらと通知しようとするやん
Re: (スコア:0)
# 元ACとは別だけど
そうなの?
Edgeがデフォで表示してくるMSNとか、twitterで流れてくる朝日・毎日・産経とか
色々サイトには訪れてるつもりだけど、許可を要求された記憶がない・・・
あーでも海外のニュースサイトだったら、ちょくちょく要求された気がする。
Re: (スコア:0)
流れで拒否って忘れてるだけじゃない?
Re: (スコア:0)
Firefoxの場合は、ここ [about]の「許可設定 → 通知 → 通知の許可の要求をブロック」で設定できます。
そんなことだろうと思って (スコア:0)
位置情報からカメラ、マイク、通知にバックグラウンド同期に至るまで全部ブロックしてる。
まったく信用する気にならない。
Re: (スコア:0)
プライベートの方は同じ設定、会社のはカメラとマイクをオンにしている
お客さんによってリモート会議のツールがバラバラだから、全部ブラウザ版でやっているんだよね……
Re: (スコア:0)
でもChrome信用してたら笑えるw
Chromeで「シークレットモードでも個人情報を収集」発覚、Googleが約5000億円の集団訴訟に直面
Re: (スコア:0)
ブロック機能は信用しているのですね。:-p
誰だよ考えた奴 (スコア:0)
登場から今に至るまで好意的な意見を聞いた記憶がない。
ついには利用するなとまで言われる始末。
Re: (スコア:0)
自前のWebアプリで使うと便利ですよ。
いちいちネイティブアプリ作らなくてもそのまま同等のことができる。
有用な使い道以上に、広告にばかり使われてしまったのがwebpushの不幸。
Re: (スコア:0)
今までならアプリケーションでやっていたことがweb上で可能になったものが増えて、その方向性で通知機能も実現できた方がいいと考えるのは自然なこと。
しかしさまざまなサイトに気軽につながるwebの世界では、クソみたいな通知許可要求だらけになることもやる前から予想できた。
不幸なんかではなく「言わんこっちゃない」だよ。
うじゃうじゃ
Re: (スコア:0)
Net send だっけか、NT系Windowsでネットワーク経由でポップアップメッセージ表示させるやつ。
サーバシャットダウンするぞー、とかの時に使うもくろみだった機能だけれど、初期のインターネット時代に悪用されてSPAM広告に使われてたなぁ…。
突然謎の広告出てきて驚いたことがある。
ファイアウォールナニソレの牧歌的時代でした…。
ふとソレを思い出した。
Re: (スコア:0)
今でいうmsg.exeですね
Re: (スコア:0)
懐かしいなあ。自分はそれを1回だけ見たことがある。
あと、あんま関係ないけど、同じくファイアウォールとかほぼ使ってない時代だったから
Aドライブにフロッピーディスク突っ込んでおいて、わざと「共有」をしておく、みたいな事して遊んでた。
ちょくちょくアクセスあるんよな。「チー、ガタゴッ、ンギー」って音が鳴るからすぐ気づく。
そんで、よく分かんない .exe を置いて行かれたりしてた。
Re: (スコア:0)
通知機能自体は問題ないんだよ。ただアクション求めるウインドウをweb側から表示できるUIなのが問題。
「このサイトは通知に対応してますよ。通知設定できますよ」ってステータスバーなりツールバーにちょこっとアナウンスされる程度だったらよかった。
Re:誰だよ考えた奴 (スコア:1)
それは気づく人が少なすぎて全く認知されずに消えていくのが目に見えてます。特にスマホブラウザでは「わずらわしさを感じさせず気づいてもらうことは困難。
邪魔にならないUIなら現状より実害は少ないけど、認知が進まず普及せず「誰だよ考えた奴」と言われるのは変わらないですよ。
うじゃうじゃ
Re: (スコア:0)
RSSはそんなで認知されたな。消えたけどw
Re: (スコア:0)
RSSはそんなで認知されたな。消えたけどw
つ スラドの RSS とコード [srad.jp]
# つかってあげてもいいのよ
Re: (スコア:0)
ユーザーがページ内のボタンを押した際のリアクションなんかでのみ、ブラウザの「通知を受け入れますか?]のポップアップが表示されるルールにすれば良かったのにー、って嘆きをなんかで読んだ。Notification.requestPermission()の引数に、ボタンが押されたeventを引数として付けてないと即座にエラーになるとかそういう。
そういう制限を付けておけば、とりあえず、ページを開いただけで、通知しても良いか? とポップアップが開くのは防げて多少はマシになる。
次はまあ、何とかボタンを押させようとするウェブサイトとの戦いになるわけだけど。
Re:誰だよ考えた奴 (スコア:1)
Firefoxは72からユーザリアクションが必須 [mozilla.org]になりました。
スラド [it.srad.jp]では許可プロンプトが小さくなることだけ取り上げてて、こっちのほうは全く書かれてないんだよな。
Re: (スコア:0)
#3994963 [srad.jp]の設定をしても表示されるの?
Re: (スコア:0)
例:window.openはインタラクティブコンテキストでなければ拒否される(ポップアップブロック)
Re: (スコア:0)
広告をユーザに送り込むことができる機能は、広告業界にとって長年の夢であり、どんなことをしてでも実現したいものなんです。古い古いと言われながら電子メールが未だに使用され続けているのも、アドレスさえ知っていれば広告を送り込めるからです。なんだかんだ結局は広告で成り立っているこの業界が実現させないわけがないのです。
Re: (スコア:0)
しかしこういう行儀の悪い広告を送り込むのはエロサイトとかお天道様の下では堂々と商売できな業種ばかり。
今すぐ消え去ってくれたところで誰も困りはしない。
まぁ、アングラはアングラで密かに生きてりゃいいものをGoogleの検索結果に紛れ込んでくるとか、
あまりにも行儀が悪すぎるので「IPAのようなセキュリティベンダ」のみならず、AppleやGoogle等の
「日の当たる所にいる優良企業」としては排除せざるを得なくなる。