パスワードを忘れた? アカウント作成
15700132 story
変なモノ

楽天をターゲットにしたフィッシングサイト広告が乱立。二要素認証未対応も一因? 47

ストーリー by nagazou
Googleの審査もザルだなあ 部門より
ack.ioさんのツイートによれば、Googleで「楽天トラベル」を検索すると、楽天トラベルそのものに見えるといった偽装サイトの広告が増えているそうだ。同氏がリンク先をクリックするとxyzというドメインのサイトに繋がった。しかしリンク先のサイトのデザインは楽天トラベルそのものとなっており、間違って契約してしまう可能性もあると指摘している。同氏によれば、同じデザインでドメイン違いのものが数多く出回っているようだ(Togetter)。

またTogetterのまとめによれば、「楽」と「天」の間に半角スペースを入れることにより、Google広告のチェックをすり抜けているといった指摘も出ている。Google公式の広告リンクであることから、ドメイン関係のチェックをあまりしない傾向のあるスマートフォン世代などが間違って契約してしまう可能性もあるかもしれない。楽天側もこうした偽装サイトに対する警告は出しているものの(その1その2)、現時点ではトップページから分かりやすい場所には警告にリンクが張られていないようだ。楽天はウォレットのような一部を除いて2段階認証がないことから、フィッシング詐欺に遭いやすいのではといった指摘もあった。なお同様の指摘はかなり前からあったようだ(ゼロからBLOG)。

nemui4 曰く、

一休.comでも同様のサイトが発生しているらしい。

  • by Anonymous Coward on 2022年06月15日 18時00分 (#4269984)

    ある程度IT知識がある人向けのスラドでも「二要素認証未対応も一因?」なんて書いちゃうんだね。

    ネット銀行の2段階認証を突破 不正送金の巧妙な手口
    https://style.nikkei.com/article/DGXMZO56375530U0A300C2000000/ [nikkei.com]

    SMSでワンタイムコードを送るタイプであっても、時刻ベースのワンタイムパスワード(TOTP)であっても、フィッシング対策にはなりません。
    何故ならば、フィッシング詐欺サイトが通信をプロキシして、正規サイトとの間を中継すれば回避できるからです。

    「二段階認証しているから大丈夫だ」とドメイン名の確認を怠ると、フィッシング詐欺にかえって騙されやすくなります。
    フィッシング詐欺対策に必要なのは、とにかくドメイン名の確認です。

    なお、楽天は、

    https://www.rakuten.co.jp/ [rakuten.co.jp] からログインするときは https://grp01.id.rakuten.co.jp/ [rakuten.co.jp]
    https://www.rebates.jp/ [rebates.jp] からログインするときは https://login.account.rakuten.com/ [rakuten.com]

    と、共通のIDとパスワードでログインするドメイン名が複数あって、大変よろしくありません。

    ここに返信
    • by Anonymous Coward

      パスワードがいっぱいあるとパスワードにパスワードとか1234なんかを指定されるのでよくありませんよ。

      • by Anonymous Coward

        それは本人の問題でしょう。
        多かろうが少なかろうが、全て別のパスワードを設定するべきなんだから。

        住所記入があるところだけでも引っ越しすると登録情報の変更だけで半日仕事になる……

    • 情報が古いですね。

      二要素認証のうち、SMSやTOTPを用いたものは確かにフィッシングに対し脆弱ですが、FIDO U2FやWebAuthnと呼ばれる認証方法はドメイン名が変わると認証されない仕組みになっているので、フィッシングをほぼ確実に防止することができます。

      特にWebAuthnではWebAuthn単体で二要素認証が完結し、パスワードそのものを廃止することも可能です。
      例えば、USB接続のセキュリティーキー + PINで所有認証 + 知識認証、パソコン内のTPMチップと指紋で所有認証 + 生体認証といった風にWebAuthnのみで二要素がそろう仕組みになっています。

      このようにフィッシングをほぼ根絶

      • ちなみに、YahooJAPANはWebAuthnに対応してますね。2018年10月にスマホでの生態認証ログイン対応を始めて、順次利用可能範囲を広げていき、2021年12月からPCブラウザでも対応しました。 [yahoo.co.jp]

        ただ、Yahooが悪いわけじゃ無いけど、
        Windows Hello のPIN認証では数字四桁の知識認証だけ使えてしまうというのは、これで本当にいいのかちょっと疑問に思ってしまう。

        • by Anonymous Coward on 2022年06月15日 23時18分 (#4270163)

          YahooJAPANについてはWebAuthn対応自体はとても良いのですが、SMS経由のコードだけでログインというアレな認証方式をゴリ押ししているので複雑な気持ちですね。使いまわしザルパスワードよりはマシという判断なのでしょうが…

          Windows HelloについてはPINによる知識認証の裏にTPMを使った所有認証が動いているので見た目よりも遥かに強固ですよ。TPMのないパソコンではTPMよりも脆弱な方式にフォールバックするようですが、そのようなパソコンはWindows 11対応の名のもとに消え去ったはずです。
          (メーカー製PCに関してはWindows 10プリインストールモデルの時点でTPM必須になっていたので、TPMが使用できるパソコンは皆さんが思っているより多いです)

      • by Anonymous Coward

        何度も言われてるけど日本在住の一般人(逸般人除く)がハードウェアキーを手に入れる方法がハードル高すぎ。
        ・GoogleStore→マイナーな上に配送がDHLなので海外からの荷物受け取りの経験ないと詰む
        ・Amazon→怪しい並行輸入業者が横行してて一般人には判別困難
        ・Yubico→英語、米ドル建て、DHL

        国内の量販店(ヤマダとかケーズデンキとか)で売ってるとか、クロネコヤマトやゆうパックで配送するレベルにならないと一般人には厳しいのが現実。

        #もう政府で全国民分買って配るか

        • by Anonymous Coward

          #4270109にスマホやPC単体で認証できるのでハードウェアキーは必須ではない旨書いたんですけど…
          「ちなみに~」以降の部分です。

          • by Anonymous Coward

            そのスマホもつい最近まで非対応機種を売ってる国内メーカーがある始末ですから。

            #結局そのメーカーが一般向けスマホから撤退したのはセキュリティ的には良かったのかもね。

      • フィッシングをほぼ確実に防止することができます。

        ちなみにWebAuthnを利用するにあたってハードウェアキーを購入する必要はありません。(個人的にはハードウェアキーが好きですが)

        おっしゃることは、ユーザーの使用するデバイスが1台だけで、スマホとPCの併用も無く、機種変更も無いという理想条件ならば正しく、確かにその条件ならばフィッシングは防げます。

        しかし、現実はそうじゃないので、ハードウェアキー無しで、フィッシングを防ぐなど不可能です。
        (ハードウェアキーにWebAuthnのキーを入れて、別端末でログインするときには差し替えるというのであればフィッシングは防げますが)

        https://gihyo.jp/dev/column/newyear/2019/webauthn?page=2 [gihyo.jp]
        >

        • by Anonymous Coward

          ハードウェアキーを使用しない場合、WebAuthnが端末依存になるのはその通りですが、大抵のサイトは複数のデバイスを認証用に登録可能なのでログインに使用する端末すべてを登録すれば済みますね。

          デバイスの登録時にはTOTPなどの脆弱な方法を使用する必要がありますが、デバイスを登録する頻度はサイトにログインする頻度よりかなり少ないことが想定されるので、その場合でもフィッシングのリスクを大幅に削減できます。

          gihyo.jpのリンク先で提示されているフィッシングのシナリオについても、根本的な問題はサイト側が「現実的な実装」という名のもとにWebAu

          • by Anonymous Coward

            gihyo.jpのリンク先で提示されているフィッシングのシナリオについても、根本的な問題はサイト側が「現実的な実装」という名のもとにWebAuthnの仕組みに反した脆弱な実装を行っているのが問題であり、サイト側が故意に穴をあけているのにそれをふさげというのは無茶な話です。

            WebAuthnの標準的な実装がどんなものかはわからないのですが、もしその実装が困難で「現実的な実装」しか実際にはできないのであれば、、WebAuthの標準実装は誰も使ってくれずに、結局フィッシングは防げないような気が。

        • by Anonymous Coward

          Appleが今年のWWDCで発表したPasskeysってのが、秘密鍵をiCloudキーチェーンに保管するって仕組みじゃないかな。

          認証できるのが1台のデバイスだけというのは、確かにより安全なんだけど、
          そのデバイスに依存すると、そのデバイスが壊れたときや交換するときに面倒なんだよね。
          全部のサービスで新しいデバイスを使って設定をやり直さなくちゃいけない。
          安全でも面倒すぎると結局普及しないからね。

          2段階認証のワンタイムパスワード生成器が壊れたらリカバリ方法がないという恐ろしいサービスもあるんだよね。
          (もちろんすぐ2段階認証を無効にした)

      • by Anonymous Coward

        これ(WebAuthn)によるフィッシング阻止効果を「二段階認証」のおかげと言うのは違和感がありますね。
        結局フィッシングの原因はユーザーなり認証装置なりが、非正規ドメインに対して認証を行ってしまうことに由来するので。
        二段階認証の本来の目的は、一段階目と二段階目の認証情報を別にしておくことで、片方の漏洩に大して堅牢にする、ということじゃないでしょうか。

        (私は自分のパスワードが漏洩する可能性と二段階認証情報が漏洩する確率は完全に同じだと思っているので、特にメリットを見いだしていません。)

        別にパスワードオンリーだったとしても、例えばブラウザのパスワードマネージャーに覚えさせて、
        ドメイン名が不一致の場合はオートコンプリートされないのとフィッシングに対する安全性は何が違うんでしょうか?

        もちろん実装含めて結果的にフィッシングは抑制されるんでしょうが、それは別に「二段階」になったからではないですよね。

        • by Anonymous Coward

          二要素認証はフィッシングに無力という主張に対してフィッシング対策が可能な手法もあるという話なので、そもそも二段階認証の話ではありませんし、WebAuthnだけが二要素認証というわけでもないので、WebAuthnのおかげと二要素認証のおかげは同義ではなく、二要素や二段階のおかげだという主張は含まれていませんよ。

        • by Anonymous Coward

          #4270181ですが、ちゃんと勉強してみました。
          WebAuthnの本質は、フィッシング云々ではなく(もちろんこれも実装次第で一般人には有用となるが)、公開鍵暗号を導入していることですね。
          今までちゃんとしたパスワード管理(高強度で、使い回さない)をしていた
          人でも、原理的に秘密鍵を相手方に渡さなくて済むので、ある種の攻撃に大して強度が上がります。
          とはいえ伝送経路(ブラウザ脆弱性等含む)の盗聴による耐性はTOTPと同じ(結局、一度は使われてしまう)ですね。
          一番有用そうなのは、相手方サーバーからの秘密鍵漏洩(ハッシュ化してないパスワード、もしくはTOTP秘密鍵)による攻撃者の継続的認証を防げることでしょうか。

          やはりフィッシング云々はその本質では無いと思います。

    • by Anonymous Coward

      二要素認証と二段階認証は別物だら。

    • by Anonymous Coward

      なんでもいいけど、もうログインのたびに電話かけてくるのは勘弁して。電話ってグラハム・ベルが発明したものでしょ?20世紀に逆戻りって技術者として恥ずかしくないの。

      • by Anonymous Coward

        どうでもいいけど、ベルが電話を発明したのは19世紀ですよ。

  • 出稿された時点ではじくのは現状厳しいにしても、どの広告主がどんな広告を出したかのデータをきちんと追えるようにしておかないからこんな詐欺広告が蔓延するじゃないのか。

    出稿時に責任者の所在をきちんと確認して、どんな広告がいつ出稿されて、どの範囲に表示されたのかくらいは把握出来ないとだめだし、広告費がどこから出てるのかも透明化しないとダメだろ。
    広告代理店なりアドネットワーク業者なりが管理責任を負うべきで、法律に義務を明記すべきなんじゃないかね。もちろん罰則付きで。

    ここに返信
    • by Anonymous Coward on 2022年06月15日 17時58分 (#4269982)

      素晴らしい提案ですね。
      実現不可能という点を除けば完璧で文句のつけようがありません。

      • by Anonymous Coward

        もっと完璧な案があるよ。
        広告禁止

      • by Anonymous Coward

        インターネット広告以前は当然やってたことじゃねえか?
        コスト削減だかイノベーションだか言いながら手抜いて社会をメチャクチャにしやがってふざけるなよ。

      • by Anonymous Coward

        ログ保全すら出来ないなら営業禁止にすべき
        ネットサービスを運営するレベルにない

    • by Anonymous Coward

      そもそも違法な広告だよね。
      どの法律なのかってのは専門家じゃないから分からんけど、不正競争防止法とか電磁なんとか詐欺罪とか、偽計業務妨害とかあちこちひっかかってそう。
      広告だけでもおそらく触法。当然アドネットワーク業者側にも責任が生じるとは思うんだが、立法がおいついてないんだろうなぁ…。

      • by Anonymous Coward

        > そもそも違法な広告だよね。
        > どの法律なのかってのは専門家じゃないから分からんけど、

        このくらいのふわっとした知識だけで違法とか断言できる性格だと、悩みごともなくて人生が楽そう。

    • by Anonymous Coward

      義務化というか、Googleのテキスト広告は一応人の目の審査入ってるはずなんだけどなあ
      時々明らかに規約違反してるサイトが広告に出てくるのがずっと続いてるわけだけどね
      まあYouTubeの違法アップリード動画に広告表示するのを明らかに見逃してるので、どうせ見てないんでしょうね

    • by Anonymous Coward

      現実的にはそれを全てやるのは無理があるけど、ある程度は広告主や内容のチェックなど何かしらはするべきでだわな。
      反社会的勢力には家を貸しません。とかやってるのと同じように。
      現状の「場所を貸してるだけなので何も責任とりません」はどうかと思う。

      • 現実的には、内容のチェックを事前にやるよりも、プロ責法みたいに広告主の情報を速やかに外部の求めに応じて提供する体制を整えることで広告のもたらした損害被害の問題を免責すると言う形になるんではないかな。
        広告料金の振込先と、広告出稿元、配信先の情報を記録しておくくらいはそんなに負担でもないでしょ。
        今のアドホックネットワークは、誰が出したかすら隠蔽されるわけで、怪しい業者が紛れ放題になってるけど、何かあったときに追跡できるようにしておくだけで大分抑止効果があるはず

        • by Anonymous Coward

          アドネットワークをアドホックネットワークの略だと思いこんでる時点でこの分野の知識がない素人なんだろうし、そんな素人の思いつきにいちいちツッコミを入れるのも野暮なんだけど、こういう暴論を放置すると誤解が広まるからあえて書く。「絶対無理」だし、「やれたらとっくにやってる」。

          ヒントをあげると、なんでアド「事業者」ではなくアド「ネットワーク」という名前になっているのかを考えてみるといいと思うよ。

  • 一方Bingは (スコア:2, 興味深い)

    by Anonymous Coward on 2022年06月15日 17時50分 (#4269973)

    広告ですらない正規の検索結果の先頭に自治体の偽サイトを表示していた
    https://www.itmedia.co.jp/news/articles/2206/10/news113.html [itmedia.co.jp]

    ここに返信
    • by Anonymous Coward

      Web串なんよね
      こういうWeb串って、どういう目的で設置してんだろ?
      悪意はなくただの趣味なのか
      やっぱし情報をかすめ取るのに使ってんのか

    • by Anonymous Coward

      なんで .LG.JP 使わへんの?

  • by Anonymous Coward on 2022年06月15日 16時16分 (#4269926)

    楽天はウォレットのような一部を除いて2段階認証がないことから、フィッシング詐欺に遭いやすいのではといった指摘もあった。

    「昨今の事情を鑑みて2段階認証に対応しましたのでコチラから設定をお願いします」みたいなフィッシングメールが出てくるに1000ペリカ

    ここに返信
    • by Anonymous Coward on 2022年06月15日 17時36分 (#4269965)

      そういうフィッシングメールが氾濫している現状で、「あなたは一定期間パスワードを変更してないので変更をお勧めします、こちらのリンクをクリックしてください」メールを送ってくる楽天グループはセンスない。
      # 今日の午前中にそういうメールが届いて驚いた。

    • by Anonymous Coward

      そして本体の2段階認証化が阻害されて、2要素認証化に取り組むんだろうな。

      #今度はフィッシングサイト側から「2要素認証を求める楽天を謳う業者からのメールはフィッシングですのでお気をつけください」というメールが飛ぶところまでは想像できる。

    • by Anonymous Coward

      この人に俺のペリカを投資したら、増やしてくれそうw

  • by Anonymous Coward on 2022年06月15日 17時15分 (#4269948)

    ストーリーにもあるack.ioさんのツイート [twitter.com]は見られないので、見たい方はTogetter [togetter.com]の方で。
    多分「危険なリンクを含んでいる」の通報があったんだろうと予測。
    なお問題とされたサイトは2020年から運用されているアフィブログっぽく、一時的に乗っ取りでもされていたのか、今は元に戻ってる模様。

    ここに返信
  • by Anonymous Coward on 2022年06月15日 18時05分 (#4269986)

    楽天に登録してないe-mailに、楽天登録手続きしていないのにもかかわらず「楽天にユーザ登録完了しました」メールが来て問い合わせたときの返信が以下。
    楽天に登録したいユーザ候補が自分が使っていないメールアドレスでユーザ登録しても認証プロセスなしに登録できるという。誤爆でEC他金融サービスもある楽天の会員登録とメールアドレス紐づけされるとか冗(ryw

    このメールをもらったのは数年前なので今は改善していたらいいなと思う。
    (日本語がビジネスメール的に変なのは翻訳ソフトを数回iterativeに繰り返したため。どういう登録プロセスかなのかは読み取れると思う)

    お問い合わせありがとうございます。

    現在、楽天会員登録作成時の認証サービスは行っておりません。
    お客様が誤ったメールアドレスを入力された場合でも、楽天会員登録が作成されます。

    登録されていないお客様にはご不便をおかけいたしますが、ご了承ください。

    今後、お客様が誤ったメールアドレスを登録することを防止するために
    「楽天会員登録」を自分で作成することはできますか?

    お客様ご自身で「楽天会員登録」を新規に作成することにより、第三者がお客様のメールアドレスを誤って「楽天会員登録」に追加することを防止することができます。

    ここに返信
    • by Anonymous Coward

      誰かが間違えて俺のメールアドレスで楽天にユーザー登録して楽天で何か買ったらしい。
      購入商品の情報のメールとか料金の振込先情報のメールとかが俺のメールアドレスに届く。
      (商品を購入可能になる前に登録したメールアドレスの確認プロセスとかねえのか。)
      俺としてはそんなもんは知ったこっちゃないのでスルーしてたら、向こうが間違えて登録したことに気づいてメールアドレスを修正したようだ。
      だがしかし!!!
      間違えて登録された俺のメールアドレスには楽天の広告メルマガが送信され続けてる!!!!
      メルマガを解除する場合は、ちゃんと解除用のURLを載せたメールを経由するという確認プロセスがある模様。

  • by Anonymous Coward on 2022年06月15日 16時31分 (#4269931)

    昔と違ってアクセスは
    アプリ>>>スマホ>>>>>>>>>>PCくらいになってるから
    スマホやPCでってのは少ないんじゃないかな
    アプリ経由のほうがポイントアップ率高いし

    # まその分引っかかる阿呆の転換率は高そうだが

    ここに返信
    • by Anonymous Coward

      なるほど確かにアプリ経由なら端末に偽アプリを入れられるか中間者攻撃以外は安全ですね
      スマホの場合はアプリ経由の方が安全確実かもしれない

    • by Anonymous Coward

      楽天はアプリだと+0.5%だけど、ポイントサイトのリンク経由だと+1%ですよ。1万炎の買い物で50円差が出ます。

      • by Anonymous Coward

        1万炎の買い物で

        なんかすごい

  • by Anonymous Coward on 2022年06月15日 17時16分 (#4269949)

    オートコンプリート民(マスターパスワードで管理)なので
    危ないとは分かってても、こういうドメインが一致しないサイトに気付きやすいというメリットがある

    ここに返信
  • by Anonymous Coward on 2022年06月15日 23時53分 (#4270170)

    タイトルオンリー

    ここに返信
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...