【注意喚起】ワンクリック不正請求に関する相談急増!
http://www.ipa.go.jp/security/topics/alert20080909.html
これによるとワンクリック詐欺が増えているらしい。少なくとも相談件数は増えている。
IPAの資料によるとユーザがアプリケーションを実行してしまう事が原因と解説されています。
相談の主な内容は、動画を見ようとして、[再生]ボタンなどをクリックした結果、請求書を表示するウィンドウ(図2)がデスクトップ画面に貼り付いて、画面から削除しても繰り返し表示されてしまうというものです。
この現象は、動画を見るつもりでクリックをし続けた結果、請求書を繰り返し表示するウイルスプログラムを取り込んでしまったことにより起こっています。
取り込む際には、Windows の警告画面が出ていたはずですが、被害者は、皆、その警告を無視してクリックをし続けて自らウイルスを取り込んでしまっています。
アプリケーションまで実行してしまうユーザも数多くいるようです。
これはWeb開発者にとってもかなりの脅威です。Webブラウザにユーザ名とパスワードを保存している利用者も多いと思います。私は全てのサイトで異なるパスワードを利用しています。とても覚えきれないのでブラウザにパスワードを保存しています。当然ですがマスターパスワードを設定しています。
しかし、一般のユーザはどれだけこれらのファイルを暗号化して保護しているでしょうか? Yahooオークションでユーザが知らない内に不正に出品される事件が発生しているそうですが、この原因には
- クラックによるユーザ名とパスワードの漏洩
- WiFiなどの盗聴によるユーザ名とパスワードの漏洩
- トロイの木馬によるユーザ名とパスワードの漏洩
などが考えられるのでは無いでしょうか? Yahooオークションで不正出品が大量に行われている問題は、Yahoo自体の問題より、他のサイトのセキュリティ脆弱性やユーザの誤ったネットワーク利用の問題の方がより重大な問題ではないかと思います。
Yahooオークションにも不正な出品を防ぐシステム作りをする責任がありますが、ユーザ自身もコンピュータを利用するリスクを正しく知る努力が必要だと思います。
- インストールされたソフトを最新の状態に保つ
- 危険なネットワークは利用しない(WEPは平文だと考えるべき)
- 同じパスワードは利用しない
- ブラウザにマスターパスワードを設定する
- 無闇にインターネットからダウンロードしたファイルを開かない・実行しない
- ログイン前にはアドレスバーのアドレスを確認する
最低限、これくらいは注意を払ってもらわないと、いくらWeb開発者が安全なWebサイト作りに留意しても安全にWebサイトを利用できません。
ブラウザ開発者も保存されたパスワードやクッキーはデフォルトで暗号化すべきだと思います。そろそろ利便性より安全性を重視したデフォルトにする時期だと思います。
