パスワードを忘れた? アカウント作成
15230420 story
情報漏洩

IPA、ブラウザの通知機能を悪用する手口が増加と警告。安易に通知を許可しないよう求める 39

ストーリー by nagazou
あの通知機能を使ってる人ってどれくらいいるのだろうか 部門より
情報処理推進機構(IPA)が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる(IPATECH+)。
  1. CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
  2. 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
  3. 通知表示をクリックさせ、不審なサイトへ誘導する
  • by Anonymous Coward on 2021年03月16日 7時52分 (#3994844)

    「パソコンがウイルスに感染した」みたいややつ以外でブラウザの通知機能が動作したことがない

    ここに返信
    • by nnnhhh (47970) on 2021年03月16日 11時09分 (#3994952) 日記

      なんか間違ってOK押しちゃったみたいで新聞社の通知がポコポコ出てました
      すぐ消したけど

    • by Anonymous Coward on 2021年03月16日 9時48分 (#3994902)

      許可してないのにそれ系のメッセージが出てきて困ったことがある
      つい先日、rsafrwd.com てところから adverdirect.com に飛ばされて、さらに complexity393.ga に飛ばされたら
      そこがPDFで印刷するダイアログともう1つ何だったか忘れたけど、交互にダイアログを出す無限ループに陥った
      キャンセルしても即座にもう1つのダイアログが開くのでそのタブを閉じることができない
      ブラウザの閉じるボタンも押せないので、タスクマネジャー開いてブラウザを強制終了して
      上記URLをhostsファイルにローカルホスト登録して読み込ませないようにして再起動したんだけど
      まだキャッシュに残ってて同じ現象
      これを何回かやったら終了時のタブを開くか確認する画面が出たときがあったので
      すかさずキャッシュをクリアしてようやく事なきを得た
      長らく更新なくて放置されてるサイトがこういう有害広告サイトに誘導してくる場合があるから要注意だ

      • by Anonymous Coward

        Esc連打しながらタブを閉じる

        • by Anonymous Coward

          それが効かないレベルのタイミングで次々とダイアログが開いたから難儀したんだ

      • by Anonymous Coward

        Ctrl+F4 を押しっぱなしで OK

      • by Anonymous Coward

        いつの間にかドメインが失効していて乗っ取られたりね。
        # 正式な手続きで取得しただけであり乗っ取ったとか言われるのは心外だろうが

      • by Anonymous Coward
        FirefoxならJavaScript切ってしまえばいいんだけど他のブラウザはどうなんだろう

        メニューのヘルプの下に詐欺サイトの報告もあるので活用しよう
  • by Anonymous Coward on 2021年03月16日 7時51分 (#3994842)

    通知無効設定方法 chrome [google.com] edge [fmworld.net]

    #不審なサイトへ誘導するという「ロボットでないなら通知許可を」系は不審なサイトでしか表示されない。卵が先か鶏が先か状態

    ここに返信
    • by Anonymous Coward on 2021年03月16日 7時58分 (#3994845)

      Webメールの着信通知で使ってる

    • Slackの新着通知に使ってます。

      以前はWindowsネイティブのSlackアプリ使ってたけど、
      Webベースでも機能的に遜色なかったので今はWebベース。

    • by Anonymous Coward on 2021年03月16日 14時33分 (#3995082)

      踊らせたい人と
      踊らされたい人
      世の中の大半はこのどっちかですよ

      プッシュ情報なんて
      余計なもの以外が有る方が稀だから
      プルした以外の情報はいらん

      なんてのは逸般人だけですって

      一般人は取捨選択の責任を誰かに転嫁しないと耐えられないんですから

    • by Anonymous Coward

      chatworkの通知で使ってる。
      普段はテレワークでサボってるんだけど、ピローンと通知が来たら
      さも「ええサボってませんよ」とばかりに返事を返す。

    • by Anonymous Coward

      Youtubeのライブ配信開始通知はありがたい
      それ以外は許可要求してくるサイト自体見かけない…

      • by Anonymous Coward

        ええっ?
        ニュースサイトとかやたらと通知しようとするやん

        • by Anonymous Coward

          # 元ACとは別だけど
          そうなの?
          Edgeがデフォで表示してくるMSNとか、twitterで流れてくる朝日・毎日・産経とか
          色々サイトには訪れてるつもりだけど、許可を要求された記憶がない・・・
          あーでも海外のニュースサイトだったら、ちょくちょく要求された気がする。

          • by Anonymous Coward
            www.asahi.comとwww.sankei.comはブロックリスト(過去に拒否したことがあるリスト)に載ってた。
            流れで拒否って忘れてるだけじゃない?
    • by Anonymous Coward

      Firefoxの場合は、ここ [about]の「許可設定 → 通知 → 通知の許可の要求をブロック」で設定できます。

  • by Anonymous Coward on 2021年03月16日 8時04分 (#3994847)

    位置情報からカメラ、マイク、通知にバックグラウンド同期に至るまで全部ブロックしてる。
    まったく信用する気にならない。

    ここに返信
    • by Anonymous Coward

      プライベートの方は同じ設定、会社のはカメラとマイクをオンにしている
      お客さんによってリモート会議のツールがバラバラだから、全部ブラウザ版でやっているんだよね……

    • by Anonymous Coward

      でもChrome信用してたら笑えるw

      Chromeで「シークレットモードでも個人情報を収集」発覚、Googleが約5000億円の集団訴訟に直面

    • by Anonymous Coward

      ブロック機能は信用しているのですね。:-p

  • by Anonymous Coward on 2021年03月16日 8時20分 (#3994856)

    登場から今に至るまで好意的な意見を聞いた記憶がない。
    ついには利用するなとまで言われる始末。

    ここに返信
    • by Anonymous Coward

      自前のWebアプリで使うと便利ですよ。
      いちいちネイティブアプリ作らなくてもそのまま同等のことができる。
      有用な使い道以上に、広告にばかり使われてしまったのがwebpushの不幸。

      • 今までならアプリケーションでやっていたことがweb上で可能になったものが増えて、その方向性で通知機能も実現できた方がいいと考えるのは自然なこと。
        しかしさまざまなサイトに気軽につながるwebの世界では、クソみたいな通知許可要求だらけになることもやる前から予想できた。
        不幸なんかではなく「言わんこっちゃない」だよ。

        --
        うじゃうじゃ
        • by Anonymous Coward

          Net send だっけか、NT系Windowsでネットワーク経由でポップアップメッセージ表示させるやつ。
          サーバシャットダウンするぞー、とかの時に使うもくろみだった機能だけれど、初期のインターネット時代に悪用されてSPAM広告に使われてたなぁ…。
          突然謎の広告出てきて驚いたことがある。
          ファイアウォールナニソレの牧歌的時代でした…。

          ふとソレを思い出した。

          • by Anonymous Coward

            今でいうmsg.exeですね

          • by Anonymous Coward

            懐かしいなあ。自分はそれを1回だけ見たことがある。

            あと、あんま関係ないけど、同じくファイアウォールとかほぼ使ってない時代だったから
            Aドライブにフロッピーディスク突っ込んでおいて、わざと「共有」をしておく、みたいな事して遊んでた。
            ちょくちょくアクセスあるんよな。「チー、ガタゴッ、ンギー」って音が鳴るからすぐ気づく。
            そんで、よく分かんない .exe を置いて行かれたりしてた。

        • by Anonymous Coward

          通知機能自体は問題ないんだよ。ただアクション求めるウインドウをweb側から表示できるUIなのが問題。

          「このサイトは通知に対応してますよ。通知設定できますよ」ってステータスバーなりツールバーにちょこっとアナウンスされる程度だったらよかった。

          • それは気づく人が少なすぎて全く認知されずに消えていくのが目に見えてます。特にスマホブラウザでは「わずらわしさを感じさせず気づいてもらうことは困難。

            邪魔にならないUIなら現状より実害は少ないけど、認知が進まず普及せず「誰だよ考えた奴」と言われるのは変わらないですよ。

            --
            うじゃうじゃ
          • by Anonymous Coward

            ユーザーがページ内のボタンを押した際のリアクションなんかでのみ、ブラウザの「通知を受け入れますか?]のポップアップが表示されるルールにすれば良かったのにー、って嘆きをなんかで読んだ。Notification.requestPermission()の引数に、ボタンが押されたeventを引数として付けてないと即座にエラーになるとかそういう。

            そういう制限を付けておけば、とりあえず、ページを開いただけで、通知しても良いか? とポップアップが開くのは防げて多少はマシになる。

            次はまあ、何とかボタンを押させようとするウェブサイトとの戦いになるわけだけど。

    • by Anonymous Coward

      広告をユーザに送り込むことができる機能は、広告業界にとって長年の夢であり、どんなことをしてでも実現したいものなんです。古い古いと言われながら電子メールが未だに使用され続けているのも、アドレスさえ知っていれば広告を送り込めるからです。なんだかんだ結局は広告で成り立っているこの業界が実現させないわけがないのです。

      • by Anonymous Coward

        しかしこういう行儀の悪い広告を送り込むのはエロサイトとかお天道様の下では堂々と商売できな業種ばかり。
        今すぐ消え去ってくれたところで誰も困りはしない。

        まぁ、アングラはアングラで密かに生きてりゃいいものをGoogleの検索結果に紛れ込んでくるとか、
        あまりにも行儀が悪すぎるので「IPAのようなセキュリティベンダ」のみならず、AppleやGoogle等の
        「日の当たる所にいる優良企業」としては排除せざるを得なくなる。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...