2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中
X(Twitter)のトレンドでよくみかける、「トレンドワードに便乗した謎の美女アカウント」。 「わ~こわい~みんな気をつけてね。詳しくはプロフ♥ #地震」など、その時トレンド入りしているワードとともに投稿。胸元などアップした写真が添えられるまでがセットです。 トレンドに便乗して人の目に触れることを狙ったものだと思われますが、みなさん気になっていますよね?彼女たちは一体何が目的なのかって。だってあまりにも数が多いですから。 大体の結末は予想することができましたが、一応確かめるべく接触してみました。 それでは結果を見ていきましょう。 ■ 出会いはXのトレンドワード 今回紹介する女性との出会いは、その日Xにあったあるトレンドワード。適当なトレンドワードをのぞいてみると……いました、いました。沢山のトレンド便乗投稿者たちが。 なかでもあからさまに胸を強調しているアカウントを選択。この手の甘い誘惑
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
メールが送られたのは8月30日午後2時ごろ。本文の出だしは「お客さまの口座の入出金を規制させていただきましたので、お知らせします。本人確認後、制限を解除することができます」(原文ママ)とした上で、このような文面で偽のログイン画面へ誘導するメールが急増していると説明。これらのリンクには絶対アクセスしないように訴えている。 メール本文下部には「詐欺被害防止を目的として、詐欺メールの実態をより一層ご理解いただくために、実際の詐欺メール同様の文言を一部に記載しております」(原文ママ)の記載も見られる。 このメールはX(元Twitter)上でも話題に。受け取ったユーザーからは「肝が冷えたので、ちゃんと注意しようと思った」「メールが秀逸すぎる」などの肯定的な声や、「紛らわしい」「このメールを考えた人は2時間正座してほしい」などの否定的な意見も上がった。これを受け、午後4時20分ごろには「三井住友銀行」
偽のセキュリティ警告画面(サポート詐欺)が表示される仕組み - NTT Communications Engineers' Blog
みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析をしています。 最近、広告から偽のセキュリティ警告画面に飛ばされる事例が目立っています。 本記事では、偽のセキュリティ警告画面が表示される仕組みについて、実際に使われているツールを使って紹介していきます。 ぜひ最後まで読んでみてください。 NA4Secについて 「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指した活動をしているプロジェクトです。 NTT Comグループにおける脅威インテリジェンスチームとしての側面も持ち合わせており、有
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
6月18日に「国民を詐欺から守るための総合対策」の報道で、「スマホ本人確認をマイナンバーカード一本化」という実際の施策とは異なるタイトルの話題が盛り上がった。5月には「偽造マイナンバーカード」を用いた「SIMスワップ」と呼ぶ手法で他人のスマートフォンの電話番号(SMS)を乗っ取り不正決済に利用される事件も話題になった。 「スマホ本人確認をマイナンバーカード一本化」報道のもとになった政府の「国民を詐欺から守るための総合対策」の概要では、赤線のように「マイナンバーカード“等”」となっている。後述するが、これはICチップを搭載する運転免許証や在留カードなども含む。「原則一本化」は法律上の本人確認方法が券面の提示のみという偽造に弱い状況を一新し、ICチップでの真贋確認を義務付けることを意味する 5月には偽造マイナカードを用いた「SIMスワップ詐欺」が話題になった。偽造の本人確認書類で他人のSIMカ
万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。 スーパーマーケットを展開するいなげやは11月9日、神奈川県の川崎土橋店と川崎下小田中店で、ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生したと発表した。 問題は、10月27日~11月9日に発生。QRコードからサイトにアクセスした際、「netsuper.rakuten.co.jp」という文字と「OK」ボタンを含む画面や、「モバイルアクティベーション」と書かれた画面などが表示された場合は「予定した入会サイトではない」としてすぐに閉じよう案内している。 心当たりのあるユーザーにはクレジットカード会社に連
問題です。 どちらが正規のサイトで、どちらが偽サイトでしょうか? 偽サイトに誘導し、IDやパスワードを盗んで預金をだまし取る「フィッシング詐欺」。 「見破るとか見分けるというのはまず無理」 サイバーセキュリティーの専門家はこう警鐘を鳴らしています。 ことし6月までの半年間の被害は去年1年間の2倍。 巧妙化する犯行グループの手口、そして私たちにできる対策を取材しました。 (社会部記者 安藤文音 田中開/札幌局記者 今江太一)
日本を狙ったフィッシングサイトの情報配信はじめました - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 3日目の記事です。 はじめに みなさんこんにちは、イノベーションセンターの益本(@masaomi346)です。 Network Analytics for Security (以下、NA4Sec) プロジェクトのメンバーとして、脅威インテリジェンス(潜在的な脅威について収集されたデータを収集・分析したもの)の分析業務をしています。 本記事では、日本を狙ったフィッシングサイトの情報配信をはじめたことについて紹介します。 セキュリティにおける情報配信について興味がある方、フィッシングについて興味がある方は、ぜひ最後まで読んでみてください。 NA4Secについて NA4Secは、「NTTはインターネットを安心・安全にする社会的責務がある」を理念として、インターネットにおける攻撃インフラの解明・撲滅を目指
攻撃者はいかにしてフィッシングサイトを隠すか?(インターンシップ体験記) - NTT Communications Engineers' Blog
はじめに こんにちは、ドコモグループのサマーインターンシップ2023に参加した河井です。 普段は大学院で暗号理論の研究をしています。 この記事では、私がこのインターンシップで取り組んだことについて紹介します。 セキュリティ系インターンシップに興味のある人の参考になれば幸いです。 はじめに NA4Sec PJの紹介 インターンシップ概要 脅威検証:攻撃インフラの秘匿 セキュリティに関するクローキングとは サーバ側のクローキングの実装 IPアドレスによるクローキング RefererとUser-Agentによるクローキング 脅威検証:攻撃インフラの構築 OAuth 2.0のデバイス認可付与(RFC8628)とは 認可フローを悪用した攻撃 フィッシング攻撃の検証 おわりに 参考文献 NA4Sec PJの紹介 まずは、私がお世話になったNA4Sec PJについて紹介します。 正式にはNetwork
ユーザーをだますために人気の高いウェブサイトになりすますケースがありますが、これとマルバタイジングを組み合わせた攻撃が確認されています。攻撃者はオープンソースのパスワードマネージャーアプリであるKeePassの偽サイトを作成し、これをGoogle広告で配信していた模様です。 Clever malvertising attack uses Punycode to look like KeePass's official website https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website 悪意のある攻撃者は、特殊な文字エンコーディングであるPunycodeを使用して、KeePas
パスキー対応における2つの段階と必要な機能
パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
Xのトレンドでよくみかける「謎の美女」 目的はなんなのか?やりとりしてみた | おたくま経済新聞
迷惑メールは「meiwaku@dekyo.or.jp」に転送しちゃうといいぞ!/「不在だったので荷物を持ち帰りました」みたいなフィッシングSMSも受け付け中【やじうまの杜】
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
【重要・緊急】入出金を規制しました──“詐欺っぽい”三井住友銀行のメールが話題 一体なぜ? 経緯を聞いた
激安焼き肉弁当、QRコードで頼んだら…カード情報聞かれる新手口か:朝日新聞デジタル
メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる
スマホ本人確認「マイナカード一本化」は本当? 実情とSIMスワップ詐欺問題を知る
偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
“見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は|NHK
パスワード管理アプリ「KeePass」の偽サイトがGoogle広告によって検索結果のトップに表示される事態が発生