メール内容から利用サービスを割り出しするリスト型攻撃についてまとめてみた - piyolog
2020年1月16日、2019年摘発の事案からリスト型攻撃で新たなプログラムを利用する手口が判明したとNHKが報じました。ここではその手口についてまとめます。 www3.nhk.or.jp プログラムでメール内容を解析 メール内容を使って利用するサービスを自動分類 過去のサービス等から流出したID,パスワードのリストを大量に入手する。 自動解析プログラムを用いて、取得したIDがどのサービスで利用されているかを分類する。 リストからメールアカウントにログインできるID、パスワードを抽出する。 メールアカウントにログインしメールの内容を取得する。 取得したメールの内容から利用しているオンラインバンキング、電子決済サービス等抽出し、分類する。 分類されたリストに基づき各サービスへ効率的に不正ログインを試みる。 不正中継サーバーの分析から判明 2019年5月不正送金事案で茨城県警が押収したサーバー
メールアドレス登録時のガイドライン - なんか:かんがえて-6
お客さんからメールアドレスの入力を受けて登録し、何らかのサービス提供に至るまえに、メールアドレスの到達性を確認する手順を必須化するガイドラインの指導はまだかいな。 以前も書いたとおり、僕はmorimoto@gmail.comという非常にわかりやすいメールアドレスを持っているが、誤ってそのメアドを何かに登録してしまう、僕ではないおそらくどこかのモリモトさんたちがそこそこの人数いる。その結果、僕には覚えのないサービスの案内やマンション売却の相見積もりやドメイン購入や飛行機の予約や婚活サービスからのレコメンドなどが週に複数回は新たに届く。 ユーザから入力されたメアドの到達確認と本人確認を一度でもしていればこの問題は防げる。そのメアドに一時的なunique keyを送ってアクセスしてもらえばいいわけで、まともなサービス提供者はもちろんそうしている。例えばYahoo! Japanから届く確認メールに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
