SMBC「簡単！やさしいセキュリティ教室」

SMBC「簡単！やさしいセキュリティ教室」 111

ストーリー by yoosee 2005年12月07日 15時07分
正しい情報を正しく伝えます部門より

usbeef曰く、" 高木浩光氏の日記にて、三井住友銀行の「簡単！やさしいセキュリティ教室」というコンテンツがベタ誉めされている。金融犯罪に遭遇しないためにということで、ATM、キャッシュカード、フィッシングメール、スパイウェア等を利用した犯罪とその対策、そしてSMBCでの取り組みを説明するもののようだ。
デザインや内容的にもかなり幅広い層に啓蒙するためのものだが、高木氏も指摘するようにそもそも「アドレスバーがない」なんて論外等と所々にビシッと書かれていて、なかなかいいコンテンツだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索111コメント Log In/Create an Account

問題４ (スコア:5, 興味深い)

by makochi13 (25998) on 2005年12月07日 15時34分 (#843974) ホームページ日記
- 偽のホームページの見分け方 [smbc.co.jp]
ひっかかりそうな問題で憎らしい良問なのではないでしょうか。(というか私は引っかかった...馬鹿。恥ずかしい)

そういえば、Rubyのまつもとゆきひろ [rubyist.net]さんもフィッシングに遭ってましたね。最近では技術云々より人の心が一番のセキュリティホールなんでしょうね。

自分への戒めをこめて
- - Re:問題４ (スコア:4, すばらしい洞察)
    
    by Anonymous Coward on 2005年12月07日 17時04分 (#844051)
    
    一般の人が細かい差異に気づくかどうかが問題。
    だから偽と言い切って、明らかに本物と分かるサイト作りをしています、と言うのがSMBCの方針なんですね。
    
    シェア
    
    親コメント
  - 実際の画面を見てから挑戦してください (スコア:3, すばらしい洞察)
    
    by Minap (9371) on 2005年12月07日 18時06分 (#844090) ホームページ日記
    
    　いや、この問題はSMBCの利用者なら一発かと。（ｗ；
    　要するに本物のログイン画面でないもの探すだけだし、３は実装ウンヌン以前にシチュエーション的に絶対ありえないから。
    　とりあえず、一度実際のログイン画面を見てみることをオススメします。
    
    三井住友銀行　インターネットバンキング（One'sダイレクト） [smbc.co.jp]
    　「ログイン」を押すと、問題に出ていた画面に移動します。
    
    --
    --- どちらなりとご自由に --- --
    
    シェア
    
    親コメント
    - Re:実際の画面を見てから挑戦してください (スコア:2, 興味深い)
      
      by sumeshi0206 (12305) on 2005年12月07日 23時28分 (#844282) 日記
      
      Operaでもちゃんと動いてるっぽい(口座持ってないのでログインできませんが)のが好感もてます。
      
      それに引き替え、うちがメインで使ってる北洋銀行 [hokuyobank.co.jp]は…(--;
      
      シェア
      
      親コメント
- - 初心者はネットバンキングをやってはいけない (スコア:3, すばらしい洞察)
    
    by copel (28292) on 2005年12月07日 19時00分 (#844120)
    
    「https://direct.smbc.co.jp/...なのに鍵マークが表示されない！」
    →スパイウェアに汚染されている可能性があります！
    
    ・・・なこと言いだしたらキリがないわけだよ。
    スパイウェアがブラウザごと書き換えてたらもうお手上げなんだから。
    
    起動時に自分自身の正当性を確認するブラウザってできないもんかな・・・
    としばらく考えて、そんなものは不可能なことに気がつくまで結構時間かかっちゃった。
    
    家の両親には、ネットバンキングはやっちゃだめ、と言ってある。ネットショッピングも。
    
    そのために専用端末を用意して、日頃からメンテをやってくれるひとがいて・・・
    なんてなことができない初心者は、やっちゃだめだよ。
    
    どうしても必要な場合は、専用の口座に最小限の額しか置かないこと。
    前回ログイン時刻と残高を毎月確認すること。
    口座を開設する銀行も、慎重に選ぶこと！
    
    シェア
    
    親コメント
    - ネットバンキングは携帯電話が比較的安全 (スコア:2, すばらしい洞察)
      
      by inoue04 (26256) on 2005年12月07日 19時47分 (#844147) ホームページ
      
      携帯でネットバンキングすれば、フィッシングもキーロガーもキャッシュの読み取りもありえません。機能が限定されている分だけウイルスやワームに強い。
      特定端末のみからしかアクセスをうけつけないという設定も可能です（イーバンク銀行の場合）
      少しばかり入力がめんどうですが、セキュリティのために譲歩しましょう。
      
      シェア
      
      親コメント
      - Re:ネットバンキングは携帯電話が比較的安全 (スコア:2, 興味深い)
        
        by ryoryoryo (5621) on 2005年12月07日 20時55分 (#844181) ホームページ日記
        
        　確かに i モードメニューのような閉じた世界でしかネットバンキングできなければ安全なようにも思えます。
        　ですが、開かれた Internet 上に i モード用のネットバンキング画面そっくりのフィッシングサイトを作り、メールで誘導されたとしたら、セキュリティ初心者の方がこれを偽物と見破るのは難しそうに思えます。
        
        　対策としては、キッズ i モード [impress.co.jp]のような i モード公式サイトにしかアクセスできない設定が有効ですが、これを移動機側で簡単に ON / OFF できてしまうとあまり意味がありませんし、かといって切り替えが面倒では一般サイトの閲覧がやりにくく、不便なものになってしまいますよね……。
        
        シェア
        
        親コメント
      - Re:ネットバンキングは携帯電話が比較的安全？？？ (スコア:1, 参考になる)
        
        by Anonymous Coward on 2005年12月07日 19時56分 (#844153)
        
        エー？アドレスバーがないよ。
        
        あと、EZwebで三井住友銀行にログインしたら、SSL使ってなかったよ。これはどうなの？
        
        シェア
        
        親コメント
なかなかいいですね (スコア:5, おもしろおかしい)

by OKSoft (27172) on 2005年12月07日 15時40分 (#843982) 日記

けっこう初心者向けと名乗ってるセキュリティ講座は、
「危ないことが分かったでしょう?じゃぁ弊社のソフト使え!」
が多いのでこれには感心しました。
- 脅して買えのケース (スコア:3, 参考になる)
  
  by Anonymous Coward on 2005年12月07日 16時18分 (#844022)
  けっこう初心者向けと名乗ってるセキュリティ講座は、「危ないことが分かったでしょう?じゃぁ弊社のソフト使え!」が多いので
  そんなケースを挙げていくスレッド。
  
  ウイルスの恐怖展 [srad.jp]
  セキュアでないOCNセキュリティニュース [srad.jp]
  インターネット基礎体力 [ntt.com]
  シェア
  
  親コメント
- - Re:なかなかいいですね (スコア:2, すばらしい洞察)
    
    by 37A (12754) on 2005年12月07日 16時01分 (#844007) ホームページ日記
    
    >「弊社のシステムは安心です(だから使え)」
    
    「だから使え」よりむしろ、すでに使っている人向けだと思う。
    
    --
    
    ----------------------------------------
    You can't always get what you want...
    
    シェア
    
    親コメント
金融犯罪を防ぐ為に.... (スコア:5, おもしろおかしい)

by KennedY (23289) on 2005年12月07日 15時57分 (#844002)

根本的な対策が必要。
1.キャッシュカード、クレジットカードを作らない。
2.金融機関に口座を開設しない。
3.コンピュータ、携帯電話を使わない。
4.宵越しの金は持たない。
- Re:金融犯罪を防ぐ為に.... (スコア:2, おもしろおかしい)
  
  by Anonymous Coward on 2005年12月08日 1時14分 (#844346)
  
  5. ヤップ島 [visityap.org]に住む。
  
  巨大な石のお金が今でも通用するところに、莫大な金額の動く金融犯罪は有り得ない。
  
  ……………物理的に巨大なお金は動くかもしれないけどね。
  
  シェア
  
  親コメント
リンクのフィッシング (スコア:5, 参考になる)

by Anonymous Coward on 2005年12月08日 2時01分 (#844374)

問題3 [smbc.co.jp]の(1)は、文面に表示してあるURLとリンク先が違う、というものです。HTMLのソースはおそらくこういう風になっていると思います。
<a href="http://xxx/123.123.123/">https://direct.smbc.co.jp/</a>
数年前と違って、普通のメーラーはjavascriptがデフォルトでオフになっていますから、ここはこれでいいのです。

しかし、これがブラウザに表示されたhtmlなら、もう少し注意が必要です。

昔よくあったのが、直接ステータスバーを詐称するものです。
<a href="http://xxx/123.123.123/" onmouseover="window.status='https://direct.smbc.co.jp'">...</a>
これは、すぐ見破ることが可能です。

で、現在よくあるのが、
<a href="https://direct.smbc.co.jp/" onclick="this.href='http://xxx/123.123.123/'">...</a>
というタイプ。
リンクをたどろうとした瞬間に、リンク先が（悪意のあるサイトへ）変更されます。

分けて書く事もできます。
（Mozilla系の例）
<script type="text/javascript"> document.getElementsByTagName("a")[0] .addEventListener ("click", function (event) { event.target.href = "http://xxx/123.123.123/"; }); </script> <a href="https://direct.smbc.co.jp/">...</a>

これをやられると、ブラウザ側では対策が難しいと思います。アンカーは、クリック直前まで、あらゆる意味で健全ですし。もうちょっと巧妙に書けば、ソースを見ても、まず、わからないようにできるでしょう。

つまり、ブラウザの場合、サイトに悪意があれば、クリックする前にリンク先を知ることは、ほぼ不可能なんです。ツールチップやステータスバーは、全く当てになりません。だって、それらを表示している時点では、まだ健全なんですから。有効な対策はjavascriptをオフにする事ですけど、もちろん、こんなことは万人に薦められません。お手上げです。実際に踏んでみてアドレスバーを確認するしかありません。

実は、これ、つい最近まで、Googleが無差別にやってました。Googleの検索結果も、リンクをクリックする直前までは、ごく真っ当な、見かけ通りのリンクです。しかし、リンクをクリックした瞬間にGoogleのcgiへリンク先が変更されて、一旦そこを経由した後、改めて本物のサイトへとリダイレクトされるようになっていたのです（注：参照数をカウントするため）。現在は、サインアップした人だけ釣っています。

ちなみに、Googleの場合は、フィッシングが甘い（褒め言葉）ので、ログインしたあと、検索結果を右クリックしてからポイントすると、真のリンク先(googleのcgiのアドレス)がステータスバーに表示されるようになります(私のFirefoxの場合)。
- - Re:リンクのフィッシング (スコア:2, 興味深い)
    
    by Anonymous Coward on 2005年12月08日 4時52分 (#844395)
    
    自己レス
    
    http://www.mozilla-japan.org/projects/security/components/ConfigPolicy... [mozilla-japan.org]
    ここを参考にしてみたのですが、以下のような記述で大丈夫でしょうか？
    識者の方、アドバイスをいただければありがたいです。
    
    user_pref("capability.policy.default.HTMLAnchorElement.href", "noAccess");
    user_pref("capability.policy.default.HTMLAnchorElement.attributes", "noAccess");
    user_pref("capability.policy.default.HTMLAnchorElement.getAttribute", "noAccess");
    user_pref("capability.policy.default.HTMLAnchorElement.getAttributeNS", "noAccess");
    
    シェア
    
    親コメント
DoCoMoのセキュリティポリシー (スコア:4, 参考になる)

by Anonymous Coward on 2005年12月07日 15時48分 (#843989)

とりあえず、アドレスバーとステータスバーの問題について、DoCoMoに問い合わせた際の回答を貼っておこう。

--- 以下引用 ---
My DoCoMoのアドレスバー及びステータスバーに関する
ポリシーにつきましては下記のとおりとなります。

アドレスバーにつきましては、基本的にはすべて表示させる方針で
作成しておりますが、セキュリティ上、eサイトのページのみ開示しておりません。

ステータスバーにつきましては、通常遷移のページにはすべて表示させ、
別ウィンドウのページは、画面サイズをできるだけ大きくするために
表示しないようにしております。

また、セキュリティを確保する場合は、ステータスバーやアドレスバーを
隠すことにより、情報が漏れないようにさせていただいております。
- Re:DoCoMoのセキュリティポリシー (スコア:2, 参考になる)
  
  by Sakura Avalon (12557) on 2005年12月07日 15時59分 (#844005)
  
  Firefoxのプラグイン「Configration Mania [lycos.co.uk]」で設定できる「UI偽装対策」は、DoCoMoのセキュリティポリシーに反するようで恐縮ではありますが私個人のセキュリティ対策には非常に有効で助かっております☆
  
  ＃アドレスバーを見せない事と情報が漏れない事の関連性が見えません。もしかしてDoCoMoでは、個人情報が記されたページがセッション管理さえ無い固定アドレスに放置されてるのでしょーか。
  
  シェア
  
  親コメント
  - Re:DoCoMoのセキュリティポリシー (スコア:4, おもしろおかしい)
    
    by s-tomo (2841) on 2005年12月07日 17時56分 (#844084) ホームページ日記
    
    > Firefoxのプラグイン「Configration Mania」
    
    でも、ホームページに仕込まれた信頼出来ないプログラムを実行しない [smbc.co.jp]って言われたばかりなので、
    入れていいものかどうか。
    
    シェア
    
    親コメント
    - Re:DoCoMoのセキュリティポリシー (スコア:2, 興味深い)
      
      by s-tomo (2841) on 2005年12月08日 10時37分 (#844492) ホームページ日記
      
      > (スコア:4, おもしろおかしい)
      
      なんでみんな笑ってるんだよ。
      
      Web経由でブラウザに機能追加する点ではActiveXと同じで、「Configration Mania」には署名付いてないじゃないかよ。
      
      しかも、SSLじゃないから接続相手が本当に[lycos.co.uk]かどうかも検証しようが無い。
      
      Firefoxプラグインで可能な動作については、
      HTML VALIDATOR (based on Tidy) [mozilla.org]
      あたりの挙動から推測すると、悪意があれば「ソース表示を本当のソースではないものにする」とか「偽物の鍵マークを表示する」とかできそうに思えるねんけど。
      
      # 挙げられたプラグインがスパイウェアだと言ってるんじゃないよ、念のため。
      
      シェア
      
      親コメント
  - Re:DoCoMoのセキュリティポリシー (スコア:1, すばらしい洞察)
    
    by Anonymous Coward on 2005年12月07日 16時14分 (#844019)
    
    > アドレスバーを見せない事と情報が漏れない事の関連性が見えません。
    
    URLの末尾にトランザクションIDっぽい文字列が見えてると
    肩越しに情報が漏洩してるみたいな気がして不安
    （見えてなければ安心）
    
    と言う御馬鹿サンが居るんじゃないですか？
    社内に、（そのヒトがシステムの脆弱性）
    
    シェア
    
    親コメント
  - typo (スコア:1)
    
    by Sakura Avalon (12557) on 2005年12月07日 16時27分 (#844031)
    
    ×「Configration Mania」→○「Configuration Mania [lycos.co.uk]」
    
    ＃タイプしたつもりで一文字抜けてました。申し訳ありません。
    
    シェア
    
    親コメント
その前に (スコア:4, 興味深い)

by Ikke (7405) on 2005年12月07日 16時06分 (#844010) 日記

この銀行から送信されるお知らせメールが、すべて「*.mailserver.ne.jp」から届くのを何とかして欲しいと思うのですが。
- 怪しい通知メールを送る銀行 (スコア:5, 興味深い)
  
  by Sakura Avalon (12557) on 2005年12月07日 17時41分 (#844074)
  
  メールの偽装（？）といえば、イーバンク銀行 [ebank.co.jp]から届く入出金のお知らせメールはebank.co.jpからになっているのですが、DMその他の通知メールはebankjp.comという「いかにもフィッシング業者が使いそうな」ドメインから送られて来ています。ふだんは見飛ばしていたものの、一度すごく怪しげな直URLに導く宣伝文句があったのでドメインの件も含めて苦情と進言のメールを送りました。指摘に対する単純な返礼メールは来たものの、今に至るも一向に改善はされていません。
  ebankjp.comはWhoIs情報では一応イーバンク銀行が所有している事になっていますが、こんなものこそいくらでも詐称が可能です。それでいてイーバンク銀行の「金融犯罪にご注意ください [ebank.co.jp]」というページでは「当行と類似の名前をかたったメールにご注意ください」と注意書きがあります。いや、あなたのところから来てるメールこそ類似ドメインを騙ってて怪しさ大爆発なんですけど～！
  なお、ebankjp.netドメインはまだ空いている様子ですので、今ならばフィッシング業者は取り放題です(笑)
  
  ＃「不審なメール・電話にご注意ください」という見出しが「不信」と間違ってるのにちっとも直す気配が無かったり。イーバンク銀行は前にフィッシング詐欺メール事件が起きているというのに、こんな調子では私自身が「不信」を感じてしまいます。
  
  シェア
  
  親コメント
- Re:その前に (スコア:2, 興味深い)
  
  by karia (12363) on 2005年12月07日 17時04分 (#844050) ホームページ
  
  うちではdn.smbc.co.jpから配信されてますけど？
  直近に来たメールを確認しましたが、*.mailserver.ne.jpというドメインはヘッダ内にすらありませんでした。
  # ちなみに「電子メールお知らせサービス」で来たメール。
  
  シェア
  
  親コメント
- Re:その前に (スコア:2, 参考になる)
  
  by kawaz (15398) on 2005年12月07日 17時19分 (#844060) ホームページ
  
  いつも銀行から来ていると思っていたそれらのメールは既にフィッシングメールだった罠。
  信用させた頃に毒を送り込む為の前準備なのです。
  
  気づいてよかったねｗ
  
  シェア
  
  親コメント
- Re:その前に (スコア:2, 参考になる)
  
  by docile-jp (16652) on 2005年12月07日 17時20分 (#844061) 日記
  
  確かにそこ経由で届くメールが三井住友銀行から来ますが、それは新サービスとかカードローンの広告メールですよね。
  
  重要なものが何か来たことってあったかなぁ??
  
  --
  それではここでスポンサーからのお知らせ。
  
  シェア
  
  親コメント
  - Re:その前に (スコア:1)
    
    by Ikke (7405) on 2005年12月07日 17時51分 (#844080) 日記
    
    そうか、「お知らせサービス」なんてのがあったのか・・・。ちなみに、*.mailserver.ne.jpからくるのは、One's directというインターネットサービスの加入者向けニュースメールです。しかしながら、中身には【金融機関等を装う電子メールにご注意ください】とか、書いているので余計に気になります。
    
    シェア
    
    親コメント
「簡単!やさしいセキュリティ教室」はソースがStrict (スコア:4, 参考になる)

by Anonymous Coward on 2005年12月07日 21時15分 (#844191)

簡単!やさしいセキュリティ教室 [smbc.co.jp]はソースがStrictですね。/p>
W3Cの文法チェッカーで採点 [w3.org]してみても満点なようです。

しかし、DOCTYPE宣言があるのに「(no Doctype found)」という警告が出ているのが気になる。。。
と URIの前に半角スペースが無いのが問題なのか、 W3Cの文法チェッカーの環境変数から古いブラウザだと判断して DTDを故意に外したデータを送っているのかは分かりませんが。

ソースも綺麗でCSSレイアウト、LINTでも高得点なので参考になるページかも

ちなみに、このページはStrictだなー、とFirefoxで表示した瞬間に直感的に気が付きました。
「SMBC三井住友銀行トップ」のSMBCの下にabbr要素の下線が見えたので。
- Re:「簡単!やさしいセキュリティ教室」はソースがStrict (スコア:3, 参考になる)
  
  by Shirayuki (25615) on 2005年12月07日 23時01分 (#844259)
  
  しかし、DOCTYPE宣言があるのに「(no Doctype found)」という警告が出ているのが気になる。。。
  
  想像の通りDOCTYPE宣言のURIの前に半角スペースまたは改行が無いのが原因です。
  
  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
  
  という具合にEN" と "httpの間に半角スペースまたは改行を入れると警告が出ないようになります。
  /* このページの文書型宣言がHTML4.01 Transitionalなのでstrictと言うのちょっと違和感が。*/
  
  シェア
  
  親コメント
めずらしい… (スコア:3, 興味深い)

by 37A (12754) on 2005年12月07日 15時27分 (#843971) ホームページ日記

>細かいツッコミどころはいくらかあったが、細かいので割愛。

と書いてはいるものの、ほぼ手放しで誉めていますね。
この人の日記で、ここまでプラスに書いているのは…ひょっとして初めて？

--

----------------------------------------
You can't always get what you want...
- Re:めずらしい… (スコア:2, すばらしい洞察)
  
  by Anonymous Coward on 2005年12月07日 18時06分 (#844089)
  
  あまりに手放しだったので、一瞬いつものように皮肉で
  書いているのかと思ってしまいました…。
  
  シェア
  
  親コメント
  - - Re:めずらしい… (スコア:1, おもしろおかしい)
      
      by Anonymous Coward on 2005年12月07日 18時31分 (#844107)
      
      この高木氏のはてな日記が実は偽装！
      
      だったら楽しいなあ。
      ＃ズラ被ってないけどAC
      
      シェア
      
      親コメント
ノーガードな人をどうしたらいいのか (スコア:3, おもしろおかしい)

by Anonymous Coward on 2005年12月07日 17時35分 (#844069)

よく銀行なんかで「行員が暗証番号を尋ねることはありません」と注意喚起とかされていますよね。
それに倣って「ユーザのパスワードを尋ねることはありません」と注意喚起してはいるのですが、「長期間使ってなくてアカウントロックされた」ユーザにパスワードを覚えているかどうか聞くと時々、べらべらとパスワードを喋りだす人がいてガックリきます(もちろんそんなことしない人が大多数)。そしてそういう人は銀行でも暗証番号を喋ってしまわないかといらぬ心配をしてしまいます。

こういう「ノーガード」な人をなんとかできないものか…。もちろんパスワードを覚えているかどうかの確認のしかたが悪いのかもしれないのですが、そうであれば一体どうやったらいいのか…。対面なら試しにその場でログインさせるという手もあるかもしれないですが、内線電話越しとかあったりするので…。

--
オフトピなので AC で
- Re:ノーガードな人をどうしたらいいのか (スコア:5, 興味深い)
  
  by Anonymous Coward on 2005年12月07日 18時44分 (#844110)
  
  高校１年生の期末試験で、学校のパソコンで個々に使用しているパスワードを書かせる問題を出しました。当然のことですが、パスワードを他の人（先生でも）に絶対に教えてはならないと、何度も注意をしています。あと、紙などに記録を残してはいけないともね。
  
  結果・・・９８％の生徒がパスワードを教えてくれました・・・orz
  パスワードを早急に変更するように指導しないといけませんね。
  
  シェア
  
  親コメント
  - 指導要領 (スコア:5, おもしろおかしい)
    
    by Anonymous Coward on 2005年12月07日 23時10分 (#844268)
    
    情報漏洩の観点から、テスト用紙に名前を書かないのが正解です。
    美術の時間に描く風景画から住所を特定されないよう注意しなくてはなりません。
    卒業アルバムの写真撮影はもちろん欠席すべきです。
    また、卒業文集も、将来自分が有名人や犯罪者になり一般公開されることを考慮し、迂闊なことを書くことは避けた方がよいでしょう。
    
    シェア
    
    親コメント
  - Re:ノーガードな人をどうしたらいいのか (スコア:3, 興味深い)
    
    by canashiro (17571) on 2005年12月07日 19時00分 (#844121) ホームページ日記
    
    実際には使っていないでたらめなパスワードを書いた生徒がいたかも。
    生年月日など推測されやすいパスワードを設定しない、ということを問う問題にも見えますしね。
    
    --
    I think I can
    
    シェア
    
    親コメント
  - Re:ノーガードな人をどうしたらいいのか (スコア:2, 興味深い)
    
    by kawaz (15398) on 2005年12月07日 18時59分 (#844119) ホームページ
    
    そのパスワードの重要性によると思います。
    
    授業でちょろっとOfficeとか使うだけでメールの履歴やログインクッキーとかもそのPCでは残るような使い方をしていないような、どうでも良いアカウントのパスワードだったら別に良いよ？って渡すこともありますね。
    
    まぁ、試験の問題にそんなのがあったら先生の頭を疑いますが…。
    （他の出題方法があると思います）
    
    シェア
    
    親コメント
  - Re:ノーガードな人をどうしたらいいのか (スコア:1, おもしろおかしい)
    
    by Anonymous Coward on 2005年12月07日 19時05分 (#844127)
    
    この場合、パスワードを教える相手が先生ということで、しかも先生には少なくともパスワードを教えたという物的証拠が残るわけで、現実世界ではそのパスワードを自分以外の人間に不正に利用されたとしてもそれによって起こった問題の責任は先生に転嫁可能だと思います。
    そこまで見越して正しいパスワードを書いてくれるような官僚的な生徒とか…いたらやだなぁ（笑
    
    シェア
    
    親コメント
  - - Re:ノーガードな人をどうしたらいいのか (スコア:2, すばらしい洞察)
      
      by miri (12057) on 2005年12月07日 21時06分 (#844184) 日記
      
      ＞それが全て本物だったかも採点基準になると思います。
      
      採点基準にしてはいけないと思います。問題に書いてあるとおりの解釈での解答が正答にならないのですから。
      
      「パスワードを書かなかった人には申し訳ないが、この問題は全員正解とする」とした上で、生徒の心に教訓を刻み込むことに主眼を置くといいと思います。
      
      シェア
      
      親コメント
- ノーガードな銀行をどうしたらいいのか (スコア:4, 興味深い)
  
  by von_yosukeyan (3718) on 2005年12月08日 1時45分 (#844365) ホームページ日記
  
  >よく銀行なんかで「行員が暗証番号を尋ねることはありません」と注意喚起とかされていますよね。
  
  それに倣って、銀行員からパスワードを聞かれても答えないようにしているのですが、先日某銀行で定期預金を中途解約したら、「解約のためにキャッシュカードの暗証番号を記入してください」と、ゼロックスでコピーされたアヤシゲな用紙を差し出されたりしてガックリしてしまいます(もちろんみんな知っているメガバンクです)。そういう銀行は、隠しカメラを設置するのにぴったりな箱が、ATMの横にパンフレット入れとして堂々と設置されたままになっていて、半島のスリ団に客が襲われてもいいのかといらぬ心配をしてしまいます。
  
  こういう「ノーセキュリティ」な銀行をなんとかできないものか…。もちろん営業端末に顧客パスワードを入力させないと中途解約ができないことで、銀行員による預金詐欺を防ぐ天才的な業務フローなのかもしれませんが、銀行員が意図的にパスワードを聞き出して中途解約してしまう事態には無力なのではないかと…。窓口で対面だから安心しろといわれたのですが、過去に書類を紛失してくれた素敵な銀行員だったので…。
  
  ----
  酔っぱらいなのでACで
  
  シェア
  
  親コメント
- Re:ノーガードな人をどうしたらいいのか (スコア:1)
  
  by gesaku (7381) on 2005年12月07日 18時56分 (#844117)
  
  だからこその生体認証なのかなあという気がします。
  この場合、パスワードを覚えることすら不要にすることも
  できますね。
  
  うちの職場でも入り口に指紋認証があったりしますが、
  なにせ薬品使って指紋が薄いひとが結構いるので、
  結局誰かのID/PASS番号を使いまわしてテンキーで
  開けちゃったりするんで無意味っつー話も・・
  
  ＃暗証番号を忘れて引き出せない口座が３つもあるgesaku
  
  シェア
  
  親コメント
  - - - Re:生体認証は (スコア:2, すばらしい洞察)
        
        by Jadawin (2174) on 2005年12月08日 10時20分 (#844471) 日記
        
        >血流の認証は生きている状態でないと機能しないとのことでした。
        
        問題は犯罪者(含む予備軍)がそれを知っているかどうかだと。
        なんせ、実例がありますからねぇ。切断された指で指紋認証が破られる [srad.jp]
        
        ＃私の車なら指紋認証ついてなくて安心。
        
        シェア
        
        親コメント
タレコミ氏 (スコア:2, 参考になる)

by Elbereth (17793) on 2005年12月07日 15時48分 (#843990)

高木氏がスラドで持ってるIDがjbeefなわけで
それに対抗してusbeefですか。
自分は信用ならない (スコア:2, すばらしい洞察)

by Milly (29357) on 2005年12月07日 16時34分 (#844036) ホームページ

注意してても見逃すこともありますし、
アンチウイルスやスパイウェア除去ソフトにも言及してほしいところです。
先生！フィッシングサイトを発見しました (スコア:2, おもしろおかしい)

by Anonymous Coward on 2005年12月07日 20時44分 (#844175)

http://slashdot.ne.jp/ [slashdot.ne.jp]
- Re:先生！フィッシングサイトを発見しました (スコア:2, 興味深い)
  
  by NyaNya (12681) on 2005年12月07日 21時54分 (#844213) 日記
  
  http://salshdot.org/ [salshdot.org]
  
  マジレスすると、
  以前は ne.jp だった [srad.jp]ので、それが今でも使えるだけでしょう。
  
  シェア
  
  親コメント
振込み金額の桁を間違えたら・・・ (スコア:2, 参考になる)

by inoue04 (26256) on 2005年12月07日 22時24分 (#844232) ホームページ

　犯罪対策ばかりが問題になってますが、初心者がネットバンキングやATM操作ではまり易い罠は、「振り込み金額の桁数間違い」です。
　５万円振り込む予定が50万円になったら大変だ。こういうミスは、銀行は絶対に補償しないでしょう。

　私は自衛策として、普通預金は20万円以下、残りは、全部10万円単位の自動継続定期預金にしてます。
- - Re:振込み金額の桁を間違えたら・・・ (スコア:2, 興味深い)
    
    by inoue04 (26256) on 2005年12月08日 1時31分 (#844360) ホームページ
    
    組戻しには受取人の承諾が必要です。「錯誤」だから無効だというのなら、桁数間違いは「重大な過失」に相当しないことを証明する必要があります。
    
    シェア
    
    親コメント
- - - - Re:振込み金額の桁を間違えたら・・・ (スコア:2)
        
        by inoue04 (26256) on 2005年12月09日 22時55分 (#845729) ホームページ
        
        　私はジャパンネット銀行とイーバンク銀行としか取引しないものでね。ジャパンネット銀行の自動融資はデフォルトじゃないし、イーバンクにはそんな機能がないですし。
        　試しに都銀を調べてみたら、確かに定期預金から児童融資がデフォルトになっていた。セキュリティもなにもあったもんじゃない。
        
        シェア
        
        親コメント
- - Re:その前に (スコア:2, すばらしい洞察)
    
    by Anonymous Coward on 2005年12月07日 17時12分 (#844056)
    
    SMBCがいま話題になっているのは「融資先に金融商品の購入を強要していた」件で公取の排除勧告を受けたことですね。
    
    まぁいろいろあるとしても、よい取り組みがあればそれはそれで「よし」と評価してあげるべきでしょう。
    それでなくてもセキュリティの取り組みというのは評価されづらい
    （問題が起こらなくて当たり前、問題が発生すれば叩かれる)
    分野ですから。
    
    ＃「システム管理者」に置き換えても当てはまっちゃうな。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

SMBC「簡単！やさしいセキュリティ教室」 More ログイン

問題４ (スコア:5, 興味深い)

Re:問題４ (スコア:4, すばらしい洞察)

実際の画面を見てから挑戦してください (スコア:3, すばらしい洞察)

Re:実際の画面を見てから挑戦してください (スコア:2, 興味深い)

初心者はネットバンキングをやってはいけない (スコア:3, すばらしい洞察)

ネットバンキングは携帯電話が比較的安全 (スコア:2, すばらしい洞察)

Re:ネットバンキングは携帯電話が比較的安全 (スコア:2, 興味深い)

Re:ネットバンキングは携帯電話が比較的安全？？？ (スコア:1, 参考になる)

なかなかいいですね (スコア:5, おもしろおかしい)

脅して買えのケース (スコア:3, 参考になる)

Re:なかなかいいですね (スコア:2, すばらしい洞察)

金融犯罪を防ぐ為に.... (スコア:5, おもしろおかしい)

Re:金融犯罪を防ぐ為に.... (スコア:2, おもしろおかしい)

リンクのフィッシング (スコア:5, 参考になる)

Re:リンクのフィッシング (スコア:2, 興味深い)

DoCoMoのセキュリティポリシー (スコア:4, 参考になる)

Re:DoCoMoのセキュリティポリシー (スコア:2, 参考になる)

Re:DoCoMoのセキュリティポリシー (スコア:4, おもしろおかしい)

Re:DoCoMoのセキュリティポリシー (スコア:2, 興味深い)

Re:DoCoMoのセキュリティポリシー (スコア:1, すばらしい洞察)

typo (スコア:1)

その前に (スコア:4, 興味深い)

怪しい通知メールを送る銀行 (スコア:5, 興味深い)

Re:その前に (スコア:2, 興味深い)

Re:その前に (スコア:2, 参考になる)

Re:その前に (スコア:2, 参考になる)

Re:その前に (スコア:1)

「簡単!やさしいセキュリティ教室」はソースがStrict (スコア:4, 参考になる)

Re:「簡単!やさしいセキュリティ教室」はソースがStrict (スコア:3, 参考になる)

めずらしい… (スコア:3, 興味深い)

Re:めずらしい… (スコア:2, すばらしい洞察)

Re:めずらしい… (スコア:1, おもしろおかしい)

ノーガードな人をどうしたらいいのか (スコア:3, おもしろおかしい)

Re:ノーガードな人をどうしたらいいのか (スコア:5, 興味深い)

指導要領 (スコア:5, おもしろおかしい)

Re:ノーガードな人をどうしたらいいのか (スコア:3, 興味深い)

Re:ノーガードな人をどうしたらいいのか (スコア:2, 興味深い)

Re:ノーガードな人をどうしたらいいのか (スコア:1, おもしろおかしい)

Re:ノーガードな人をどうしたらいいのか (スコア:2, すばらしい洞察)

ノーガードな銀行をどうしたらいいのか (スコア:4, 興味深い)

Re:ノーガードな人をどうしたらいいのか (スコア:1)

Re:生体認証は (スコア:2, すばらしい洞察)

タレコミ氏 (スコア:2, 参考になる)

自分は信用ならない (スコア:2, すばらしい洞察)

先生！フィッシングサイトを発見しました (スコア:2, おもしろおかしい)

Re:先生！フィッシングサイトを発見しました (スコア:2, 興味深い)

振込み金額の桁を間違えたら・・・ (スコア:2, 参考になる)

Re:振込み金額の桁を間違えたら・・・ (スコア:2, 興味深い)

Re:振込み金額の桁を間違えたら・・・ (スコア:2)

Re:その前に (スコア:2, すばらしい洞察)