水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > ニフティのパスワードを入力させるフィッシング

ニフティのパスワードを入力させるフィッシング

2008年12月1日(月曜日)

ニフティのパスワードを入力させるフィッシング

公開: 2018年7月22日14時40分頃

ログインIDとパスワード抜き取りの恐れ:ニフティの偽サイトが再発見 複数の個人情報を抜き取る手口に (www.itmedia.co.jp)」。

この偽サイトは、@niftyメールのログイン画面に似せた作りで、@niftyのログインIDとパスワードを入力する項目がある。これらを入力すると、パスワードが違うとして再度情報の入力を促す画面が表示される。「違うパスワードを入力させることで、@nifty以外のIDやパスワードを抜き取ろうとする手口」(ニフティ広報)という。

@niftyのログイン画面で「@nifty以外のIDやパスワードを抜き取ろうとする」? うーむ、意味が良く分かりません……。

写真左が偽サイトのイメージ(ニフティ提供)で写真右が通常のログイン画面。「デザインなどはほぼ同じ作りをしている」(ニフティ広報)ため見分けが付きにくい。通常のログイン画面では現在、「やめよう!同じパスワード」という呼び掛けとリンクが掲載されている

いちおう突っ込んでおくと、「呼び掛けとリンクが掲載」されているのが本物、という見分けかたはダメですので……。ニフティ広報にはちゃんとした見分け方をアナウンスして欲しいところですが。

ところで、ニフティからは「【再掲】 フィッシングサイトにご注意ください (support.nifty.com)」というお知らせが出ていますが、驚愕したのはこの記述。

※@niftyのログインパスワードおよびメールパスワードに有効期限はありません。

な、なんだってー!!

昔は「別途定める一定期間に、会員がパスワードの変更を行った形跡が認められないと判断した場合」は退会させられるという規約があったのですが、今はもうなくなっているのですかね。

関連する話題: セキュリティ / 与太話

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト