「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった

166
Osumi, Yusuke @ozuma5119

Threat Intelligence, Cyber Security Researcher, PenTester. CISSP,CISA

https://t.co/8kTFSGuuoZ

Osumi, Yusuke @ozuma5119

イオンカードさん、この注意喚起は大間違いです。 ドメインは「始まっている」ではなく「終わっている」部分を見ないと意味がありません。 https://aeon .co .jp .example. com/ のようなまぎらわしいドメインこそが、一番詐欺に使われます。出す前に、社内のエンジニアのレビューを受けましょう。 pic.twitter.com/hLVrhHisPH

2021-06-07 14:59:35
拡大
拡大
Naomi Suzuki @NaomiSuzuki_

@ozuma5119 https://......jp/ とするのを後ろの /が抜けて一大事ってとこですかね。

2021-06-07 15:40:30
Osumi, Yusuke @ozuma5119

@NaomiSuzuki_ その最後の / がどれだけ大事か、広報の人だと分からないかもですね。 社内でちゃんと技術部門にレビューしてもらえば……

2021-06-07 15:41:39
Naomi Suzuki @NaomiSuzuki_

@ozuma5119 このままだと、攻撃者の思うつぼ😅

2021-06-07 15:44:43
たんたん @tan9_9

そもそも馬鹿はURLなんて見ずにタップするからな。ドメインがどうこうとかクエリがどうこうなんて見るほど奴らは賢くない。 twitter.com/ozuma5119/stat…

2021-06-07 23:27:25
Kosuke Tsujino @kosuke_tsujino

こういうの見ると、jp.co.aeonの順序で書くように設計したほうがよかったんじゃないかってなりますね 後ろから見るって普通に考えたら不自然でやりづらい(100万回言われてそう) twitter.com/ozuma5119/stat…

2021-06-07 22:44:44
つよぽぷら @TsuyoPopura

こんなん俺でもわかるぞ………大丈夫か… twitter.com/ozuma5119/stat…

2021-06-07 22:08:01
竹谷正明 @takeya_masaaki

これがなぜかを理解するには、ドメインの仕組みについての知識が必要になりますよね。生活に情報機器が欠かせなくなってくると、現時点で身の安全を守るために必須の素養だと思います。 twitter.com/ozuma5119/stat…

2021-06-07 22:06:18
いっしー𝕏世 @issie

ほんとこれ! IT知識ないなら黙って専門家に聞けよ! まったく… 社内にエンジニア居ないのかもね。 派遣、外注で。 twitter.com/ozuma5119/stat…

2021-06-07 21:43:54
ゆいゆい @yuiyui12322

どうだろ?そもそも「URLを確認する」ってこと自体が一般人には色々無理がある施策な気がする。いや、エンジニアだって一々たまに入るサイトのURLなんてうろ覚えでしょ。 twitter.com/ozuma5119/stat…

2021-06-07 21:13:53
ZOE @c10h8

ドメインは後ろの方が重要度が高いってのは、社会人になる前に身につけておくべき常識になって欲しい… twitter.com/ozuma5119/stat…

2021-06-07 21:01:23
spr @spr_spr

この辺、慣れてない人には難易度高いし、ドメイン本体(って言い方でいいのか?)が着色されるとかブラウザの機能にあればいいのに。そうしたら説明しやすい。逆にブラウザ、末尾の/を取るとか、?以降カットして表示するとかセキュリティ的にはザルな方向に進んでいるしなあ。 twitter.com/ozuma5119/stat…

2021-06-07 20:46:02
ひつじ粒⊿2024臺北 @hpjtwitt

あと、ちょっとでもHTML書いたことがある人ならわかりますがリンクをクリックした時、リンクで表示されているURLに飛ぶとは限りません。 twitter.com/ozuma5119/stat…

2021-06-07 20:32:09
風樹(ふぅき) @fuki1234

最後にスラッシュがあれば良かったんだけどねぇ・・・。 twitter.com/ozuma5119/stat…

2021-06-07 20:29:36
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家 @otsune

そういえばこの「URLのドメイン部分の最後が要確認」というノウハウ。スマホのブラウザだと表示の省略の都合で意外と困難だったりする気配がする。 twitter.com/ozuma5119/stat…

2021-06-07 20:27:49
蜘蛛糸まな🕸️ / HolyGrail @HolyGrail

この手のやつ、ヨドバシの注意喚起ページがとてもよくできてるので各社見習って欲しい yodobashi.com/ec/support/new… twitter.com/ozuma5119/stat…

2021-06-07 19:22:22
ムタマック @mutamac

この手のセキュリティに注意!とかいう注釈は間に受けてはいけない。特に役所や大企業のそれは間違いだらけ。 twitter.com/ozuma5119/stat…

2021-06-07 19:21:56