SNSにログインした状態のまま、不正なプログラムが仕込まれたウェブサイトを閲覧すると、個人のアカウントが特定されるおそれがあることが、NTTの研究でわかりました。こうした危険性は多くのSNSに共通していて、NTTはユーザーや事業者に注意を呼びかけています。
NTTによりますと、今回見つかった危険性は、特定のアカウントからのアクセスを拒否するSNSの「ブロック機能」を悪用するものです。
攻撃者は不正なプログラムを仕込んだウェブサイトを作り、このサイトを閲覧した人のパソコンやスマートフォンを操って事前に用意した攻撃用のSNSのアカウントに次々とアクセスさせます。
その際、閲覧した人がSNSにログインした状態のままだと、ブロック機能を悪用され、どのアカウントの人かが特定されるということです。
こうした攻撃の被害はまだ確認されていませんが、NTTが実験したところ、「ツイッター」や「フェイスブック」などブロック機能がある少なくとも12のSNSで攻撃に成功したということです。
これに対し、ツイッターやマイクロソフトなどはすでに対策を済ませた一方、対策を講じていないサービスも多数存在すると見られています。
NTTセキュアプラットフォーム研究所の渡邉卓弥さんは、「アカウントを特定されたくない場合は、こまめにログアウトすることが有効だ」と話しています。
2018年7月18日 15時05分
NHK NEWS WEB
https://www3.nhk.or.jp/news/html/20180718/k10011538051000.html?utm_int=all_side_ranking-social_003 0039名無しさん@1周年2018/07/18(水) 18:29:56.08ID:C0UeionD0
0040名無しさん@1周年2018/07/18(水) 18:42:22.34ID:/5drBQOB0
たまに友達限定で公開してる物だけども、ウェブ上に広がったらと思うと怖い…みたいな意味不明な話をする奴がいるね。
誰とは言わないであげるが特定した
このスレに書き込んだ奴の中に佐藤がいる
0042名無しさん@1周年2018/07/18(水) 18:58:39.29ID:s1yoDoKT0
IPスレに書き込むような馬鹿なら気にしないだろ
0045名無しさん@1周年2018/07/18(水) 19:10:52.19ID:y6xTpx6u0
0046名無しさん@1周年2018/07/18(水) 19:14:33.10ID:Tyw/5oUj0
パットみ、自分のサイトにSNSアクセスするJavaScriptを組み込んで、フィッシング用アカウントにアクセスさせる。
アクセス結果は自分のサイトにGETのパラメータで流し込む。
フィッシング用アカウントは、全部ブロックにしておけば、アカウント名と名前がわかる。
そんな仕組みかな。
クッキーの悪用な訳だが、これ自体は結構有名な気がする。
そもそもブロックせず
プロフィールページをアクセスさせれば良いだけ。
なので、なんか、もうひとつあるんだろう
0047名無しさん@1周年2018/07/18(水) 19:15:08.32ID:Grj1xBIP0
こまめに節水を
0049名無しさん@1周年2018/07/18(水) 19:19:16.05ID:Tyw/5oUj0
そもそもブラウザの設計であり機能なのだから、セキュリティ欠陥ではなく仕様(そういう規格)と強弁しそう。
Googleならば。
0050名無しさん@1周年2018/07/18(水) 19:23:12.36ID:Tyw/5oUj0
あと「ログアウトは、コミュニティから縁を切る行為だから自己責任で」とかの煽りを入れたら
阿鼻叫喚の祭りになりそうだかど、ログアウトはこまめにするのが基本
0051名無しさん@1周年2018/07/18(水) 19:23:56.78ID:ZhvEJ+8Z0
0052名無しさん@1周年2018/07/18(水) 19:28:11.63ID:Tyw/5oUj0
このスレには太郎がいる。
0053名無しさん@1周年2018/07/18(水) 19:40:15.45ID:1zUuDSqQ0
おめでとうございます!ってやつか
0054名無しさん@1周年2018/07/18(水) 20:25:54.46ID:lY2ZGGYx0
>>32
chromeのシークレットモードで十分なんじゃないかな。 0055名無しさん@1周年2018/07/18(水) 20:31:10.27ID:OJvJbStt0
特定情報ねぇ
こんなん真に受けてしっぽ全開で振って走り回る駄犬ているんけ
餌くわえてご苦労さんなこった
snsっていちいちログアウトすると使いにくくなるシステムなんだよな最初から
使わんのが一番いい
>>33
そのアドブロックアプリに全部抜かれるんですね 0058名無しさん@1周年2018/07/18(水) 21:28:25.83ID:O+gx+EgL0
Greeとかmixiとか?
0059名無しさん@1周年2018/07/18(水) 21:30:56.49ID:PpxcUOCj0
0060名無しさん@1周年2018/07/18(水) 21:56:46.88ID:F4LM08DO0
ログイン状態を維持する仕組みって、確かに意味分からないよな。
今じゃ主婦でも普通に使う【プル(pull)型】トポロジーを必須とする仕組みって前時代的だと思う。
欲しい時に、欲しい情報を選択的に得るのがウェブシステムで、それがテレビを弱体化した要因。
しかし、現実はログインを維持してpull型でポーリングしてリアルタイムにメッセージが届いたように演出されたアプリケーションが便利!で最先端のコミュニケーションツール!^^
とか思われている現実。
SNSを切れないってのは、結局、チャンネルを変えられない人間という事じゃん。
などと、俺は思ったりする。。。
0062名無しさん@1周年2018/07/18(水) 22:04:28.86ID:X1BK5iYH0
× 今じゃ主婦でも普通に使う
○ 今じゃ主婦でも普通に使う「言葉」
0063名無しさん@1周年2018/07/18(水) 22:11:37.50ID:T5fXzfca0
0064名無しさん@1周年2018/07/18(水) 23:17:55.89ID:8oAPIRuC0
0065名無しさん@1周年2018/07/18(水) 23:22:02.19ID:MLIU1ydz0
そんなことより
そもそも何故無料なのか考えたほうがいい
0066名無しさん@1周年2018/07/18(水) 23:25:13.90ID:YQpSMc/40
ギャラクシー使えば抜かれるぞw
LINE入れたら抜かれるぞw
0067女2018/07/18(水) 23:25:30.81ID:uSySdTPi0
プライベートモード
0068名無しさん@1周年2018/07/19(木) 00:05:38.58ID:i/QzeyUp0
HNで登録しているSNSで「お前、エロ豚@東北だろ!」って言われても「あ、はぁ」程度で済むだろ
0069名無しさん@1周年2018/07/19(木) 00:11:07.21ID:MhNXRNS10
NTTが馬鹿なことはわかった
そのNTTが実験した手口が外部に流出して被害拡大するってオチ?
>>41
高橋「おいおいおい、俺を差し置いてそりゃないぜ 0074名無しさん@1周年2018/07/19(木) 08:01:05.02ID:Vy2p+H1v0
セッションクッキーの共有問題が根にあるしな。
汎用クライアントがアドレスバーに表示されていないサイトにもアクセスさせることができることがシナジー起こして、こんなことが可能となる。
ブラウザの設計不具合
0075名無しさん@1周年2018/07/19(木) 09:01:40.57ID:V09yggT30
パソコンでしか登録してなくて、コードが送られて来るとか何なの?
メールで来ないんだけど。
サポートに送ったら数秒で返事が来だけど、最初の登録から携帯使ってねーっつーの。
色々やったら1時間のログインロックがかかった。
難し過ぎる。
0076名無しさん@1周年2018/07/19(木) 09:09:04.15ID:V09yggT30
俺のそばでツイッターの設定の仕方を教えてくれるサービスってある?
それか、全部設定してくれて、アカウントを渡してくれるサービスってないのかな?
わかりにくい。
サポートページが英語だし、複雑過ぎて理解出来んわ。
Steamの登録くらい簡単だったらいいのに。
0077名無しさん@1周年2018/07/19(木) 09:14:21.81ID:V09yggT30
ネットの親友に登録してもらう事になった。
これで完璧だな。
もうTwitterでは対策したんやろ?
ならもうええわ
ツィッタラーしかやってないしwwwww
0079名無しさん@1周年2018/07/19(木) 09:24:05.36ID:6ok55QZW0
アカウント特定されても特に気にしない
>>1
イーバンクの頃パス忘れたと言ったら金払わなきゃ教えないって言われてほっといたら、
いつのまにか楽天銀行になってて仕組みも変わって口座奪還できた 0081名無しさん@1周年2018/07/19(木) 09:39:03.89ID:V09yggT30
>>80
イーバンクは酷かったよな。
ATMで暗証番号を間違えてロックされた時、カード再発行で2000円かかるって言われたよ。
「何そのアホなシステム」って思って、ネット上でしか使ってないわ。
楽天になってからもネット上だけだな。 パスワードを抜かれるなら困るけどアカウントだけなら別に…
>>81
ATMで暗証番号間違えてロックされてカード再発行に金取られるのは都市銀行でも同じだったよ 0084名無しさん@1周年2018/07/19(木) 11:05:04.22ID:V09yggT30
>>83
マジかよ。
まあ、もう使わないからいいわ。 特定されて何が困るんだろ
困るような書き込みしてるからだろう
0086名無しさん@1周年2018/07/19(木) 11:12:44.37ID:V09yggT30
>>85
いろんなところで共有してるからな。
例えば、ツイッターのアカウントでツイキャスとか。
フェイスブックは廃れてるよな。
やってる人見たことない。
偽名アカウントを5個持ってるけど、全然使ってないわ。 共有してねえわー
つうかsnsで本名も使ってないし
ああでもヤフーのアカウントはマイソフトバンクと共有だな
>>46
mixiには足跡機能があったから、10年くらい前はそれが簡単にできた。当時ネット上で多少は問題になったように記憶してる。
もちろんFacebookやTwitterはそこまで愚かじゃないから、そのような機能は搭載すらしていない。
にもかかわらず、ブロックを悪用することで使うことで、ユーザを識別できてしまう情報を割り当てることができるということ。
ブロックされてるかどうかもブラウザセキュリティ上は漏洩しないんだけど、通信の所要時間を解析することで推測できるらしい。
ちなみにこの発表、学会で賞をとっていたので、自分は去年読んだ。
なぜ今になって記事になったのだろう?