  |
はてなキーワード:不正アクセスとは
これについて書くのを忘れていました。ありがとうございます。
逮捕前まではクレジットカードの不正利用等で稼げるようになって生活は安定していたように見えました。
私たちは全てを知っている。そして、報道各社や警察関係者が嘘をついていることも知っている。私たちは真実を伝えるべきだし、私たちもそうしようと思ったのでここに書くことにした。私たちが偽物だと思うならohnostartedbruh[at]pissmail.comまで連絡してほしい。彼とは関わりがあったので、その証拠としてデータの一部を開示することができる。
報道各社は、生成AIを悪用した犯罪だと書いているが、全てが嘘である。インターネット上にある情報で、逮捕と不正アクセス以外に真実は存在しない。私たちは彼が生成AIを使ってプログラミングをすることを好む人間ではないと知っているし、そもそも日頃からそのような人間を馬鹿にしている発言を見かけていた。おそらく警察関係者か報道各社には生成AIをひとまとめにして悪だという思想が存在する。
それに、脆弱性の内容と不正アクセスプログラムの説明も事実とはかなり異なる。これに関しては書かないが、脆弱性の内容はもっと単純であるし、初心者プログラマーがやりがちな実装漏れだったと言える。
大阪市平野区の高校2年の男子生徒(17)というのは長いので、以降は少年Sとする。
母子家庭ではあるが、母親との仲が悪いといった話は聞いたことがなかったし、むしろ時々母親のことを気遣う発言もしていた。西洋哲学や文学に興味を持っていて、それなりに倫理観もあったはずだが、少年Sがどうして犯罪行為を始めたのか理解はできない。憶測でしかないが、おそらく最初は貧困によるものだったと思う。
ヤフコメやX(旧Twitter)を見ていて思ったことがある。こいつらは脳みそがないのか?憶測で話すにしても見当違いなことばかり言っている。「生IPで攻撃したから捕まった」だとか、「足がつくなんてまだまだですねぇ🤓」みたいなことを言っている自称有識者どもがいるが、少年Sが捕まった理由はそこまで単純なものではない。
そもそも、彼はクレジットカード不正利用をメインに犯罪行為をしていたし、それで稼いでいた。詳細は伏せるが、全く関係のない事件で使われたクレジットカード情報を手に入れ、その不正利用から足がついて家宅捜索を受けたと少年Sは話していた。
CTFでググってくれ。間違ってもCTFプレイヤーを攻撃するなよ。ほぼすべてのプレイヤーには倫理観があるし、聞けば大体の人たちが技術者倫理について教えてくれるだろう。
わざわざこんなことを書いたのには理由があって、X(旧Twitter)のアニメアイコンどもが高校生向けの大会だとか、憶測で見当違いなことを言っていたから腹が立っているだけだ。特定を防ぐために実績は挙げないが、SECCONやさまざまなコンテストでそれなりの結果を残していた。
私たちでさえまだ連絡は取れていないし、そもそも少年Sは犯罪から足を洗おうとしてインターネットから距離を置いていた。もし仮に釈放されたとしても少年SがSNSを始め、あわよくば承認欲求のために自称するなんてことは天地がひっくり返えってもありえないだろう。
犯罪者であることを自称するメリットはなにもないし、承認欲求のためにやっているんだとしたら別のことをやった方がいい。
たぶんあると思う。私たちと言った通り、複数人がデータを保有している。そのうちの誰かがどんな用途に使おうが自由だと少年Sは言っていたし、文章を書いている私も完全に把握はしていない。
他に疑問があったらメールかコメントをしてほしい。私たちはできるだけ丁寧に答えるつもりだし、真実を答えるつもりだ。私たちは嘘を吐かない。だからあなたたちも冷静かつ誠実あってほしい。
Permalink |記事への反応(14) | 20:20
「日本という共同体」そのものは目に見えない。触れないし、握れないし、形もない。でも私たちは、その「形のないもの」を前提にして、同じ道路を使い、同じルールで生きている。その目に見えない共同体をどうやって「そこにある」と確認してるのか?答えは単純で、象徴(シンボル)だ。国旗は、政治的な押しつけアイテムじゃなくて、私たちは同じ場所に立っているという共通認識のマーカーなのだ。
国旗を破って燃やして踏みつける行為は「私はこの国が嫌いです」という話ではなく、「この共同体を支える合意を破っていい」という宣言になりやすい。これは思想じゃなくて秩序の話。好き嫌いの話ではないし、心の中を強制しようとしているわけでもない。
「共同体をつなぎ止めてる目印に対して、どこまで攻撃を許すか」という、いたって地味で現実的な議題なのだ。
ここからが本題。代表的な反対意見(岩屋・橋下・日弁連)を見ると、どれもロジックがお粗末極まりなく、目も当てられなかった。法律の専門家(笑)が言うことかよ、というレベルだったので、あえて向こうの土俵で論破する。
--------------------------
■岩屋毅(引用元:https://www.iza.ne.jp/article/20251104-KATPZGUBWFGNLBZXMVYLNT4XMA/)
>「当時、反対しました。なぜなら『立法事実』がないからです。立法事実とは、実際にそうした事例が社会問題になっているかということです。日本で誰かが日章旗を焼いた? そんなニュースを見たことがない。立法事実がないのに法律を作ることは、国民を過度に規制することにつながるので、それは必要ないのではないかと言いました」
一見もっともらしいが、この論法は立法事実という概念そのものを誤解している。立法事実というのは「すでに大量に事件が起きているかどうか」だけではない。とくに象徴や治安や社会秩序に関する立法では、「問題が顕在化してからでは遅い」という前提そのものが、法律の必要性を支えている。実際、現代の法律の多くは「予防的」に整備されている。
・・・本当に早大を出て閣僚を経験していてた人の理屈なのだろうか。国旗損壊罪が問題にするのは、「布が燃える現象」そのものではない。象徴が公然と破られることで、社会の緊張が増幅される・対立と敵対意識が活性化する・集団の統合が崩れる という作用のほうだ。この「象徴毀損→社会不安の増幅」という因果関係は、国際的にはとっくに前提として認識されている。
イギリスでは国旗侮辱は暴徒化の初動トリガー、韓国では対立デモの象徴破壊が衝突に直結、フランスでは国旗侮辱は「共和国に対する攻撃」、ドイツでは象徴毀損は「民主秩序破壊行為」と解釈されている。
つまり、「日章旗を燃やした事件が日本で多いかどうか?」は論点の中心ではない。本当の論点はこうだ。象徴破壊は、共同体の統合を揺るがす高い蓋然性があるかどうか。そしてそれは「ある」。岩屋の議論は、「国旗は共同体をつなぐ象徴である」という視点が最初から抜けている。だから彼の目には「問題がない」ように見えるだけだ。
言い換えるなら、日の丸を「自分の共同体の象徴」として認識していない人は、国旗損壊に「実害がない」ように感じる。ただ、それは「法的判断の結果」ではなく、立ち位置と感覚の問題だ。「国旗が燃えてないから法律はいらない」は、「家が燃えてないから消火器はいらない」と言っているのと同じ構造である。そして、そう言えるのは結局、自分にとってその家が「帰る家」でも「守りたい家」でもないからだ。
--------------------------
■橋下徹(引用元:https://x.com/hashimoto_lo/status/1985500133828805077)
そもそも出だしから政治家の不正を糾弾する論点ずらしを使用しているところが小賢しいストローマン的論調だが、論点も穴だらけである。本当にこの人は元弁護士なのだろうか。
法益は、「共同体の象徴秩序」である。橋下はこれを「愛国心の強制」だと見ているのかもしれないが、法益はそうではない。
象徴が破壊されると、共同体のつながりの感覚が損なわれ、対立や敵対意識が増幅する。これは国際比較すると常識に近い。
外国国旗は外交関係の安定を守るために保護されている。つまり、すでに日本の刑法は「象徴は秩序に作用する」という前提で立法されている。今回の議論は、その射程を「対外」→「国内共同体」へ拡張するだけ。理屈は同じ。
ここは技術的な話に見えるが、実際は簡単。「公然性」「侮辱目的」を要件にすればいいだけ。すでに名誉毀損・器物損壊・侮辱罪で使っている手法。「プラカードとしての国旗」や「スポーツ応援の旗」が誤処罰される、というのは法技術ではなく「雑な想定」による不安。構成要件で回避できる話。
されない。すでに外国国旗損壊罪ですら公然性が要件。私人の家で破ってる旗まで取り締まる制度設計はそもそも立法技術的に想定されていない。「家の中でポスターを破ったら逮捕」はフィクションでしかない。
それは国旗損壊罪とは無関係。国旗利用のガイドラインは運用・行政・プロトコルの問題。仮に「政治家が国旗を利用したくなる」というのが懸念なら、それは政治倫理規定のほうで制御する話。つまり「スプーンに毒を盛るかもしれない」から「スプーンを廃止しよう」と言っているようなもの。
ここまで来ると、さすがに苦笑いである。「国家とは何か」論は、象徴を理解していないからこそ無限に抽象化する。けれど現実の共同体は抽象ではなく合意で維持されている。その合意を可視化するのが象徴。象徴を理解しないまま国家論を語るのは、地図を見ずに登山ルートを議論しているようなもの。まず「どこに立っているか」がわからなければ、そこから先は全部空中戦。橋下の6論点はどれも一見まともに見えるが、すべて「国旗は、共同体の統合を可視化する象徴である」という前提が抜けている。
この前提を共有しない限り、国旗損壊罪は「不要な規制」に見え続ける。つまり、結局この話はこういうことだ。
--------------------------
■日弁連(引用元:https://www.nichibenren.or.jp/document/statement/year/2012/120601_2.html)
>同法案は、損壊対象の国旗を官公署に掲げられたものに限定していないため、国旗を商業広告やスポーツ応援に利用する行為、あるいは政府に抗議する表現方法として国旗を用いる行為なども処罰の対象に含まれかねず、表現の自由を侵害するおそれがある。
この「おそれ」という言葉に全てを預けて議論を閉じてしまうところに、まず問題がある。刑法は「おそれ」で動くわけではない。刑法は構成要件を満たしたときにのみ成立する。ここは法学部の1年生でも最初に叩き込まれる部分だ。それにもかかわらず、その最も基本的な前提をまるごと無視して話を進めているあたり、本当にこの文書は日弁連が出したものなのだろうかと不安になる。
国旗損壊罪が成立するのは、ただ「国旗に触れた」からではない。国旗を侮辱する意図をもって、公然と破壊した時だ。「わざとであること」と「侮辱という意思」が明確に必要になる。そのため、スポーツ応援で旗を振ることも、商業デザインに用いることも、抗議運動のシンボルとして掲げることも、そもそも構成要件に当たらない。日弁連は「使うこと」と「破壊して侮辱すること」を意図的に混同している。その混同を前提にしている限り、彼らの議論は最初から成り立っていない。
加えて、日弁連は「表現の自由が制限される」と言うが、表現の自由は憲法上、絶対無制限に保障されているわけではない。人格権を守るために名誉毀損があり、社会的尊厳を守るために侮辱罪があり、財産権を守るために器物損壊罪がある。どれも「表現」が関わる可能性があるが、社会を成立させるために必要な領域では当然に制限がかけられている。国旗損壊罪が保護しようとする「共同体の象徴秩序」も、それらと同じく社会をまとまりとして維持する機能を守るためのものだ。
では、「濫用されるおそれがある」という主張はどうか。これも、法制度の議論としてはあまりに雑だ。「濫用されるおそれがある」だけで法律が否定できるなら、名誉毀損も侮辱罪も、スパイ防止法も成立しないことになる。極端な話、殺人罪だって捜査側が恣意的に使える「おそれ」があると言えてしまう。法治国家は「おそれ」があるかどうかではなく、その「おそれ」が実際にどの場面で生じうるのか、そしてどのように構成要件と運用基準で防ぐかを議論する。「おそれがある」とだけ言って反対した時点で、日弁連は法律論を放棄している。
つまり、日弁連の声明は、法律家として最もしてはならない論理の進め方をしている。構成要件には触れず、使用と損壊を混同し、法益概念を押さえないまま、「自由が脅かされる」とだけ言って議論を止める。これは法的主張ではなく、立場ありきのスローガンだ。
国旗損壊罪は、国旗を使う人を処罰するものではない。共同体を侮辱する目的で、象徴を破壊する者のみを対象とする。日弁連が「表現の自由」を盾にして反対するのは、その前提を理解していないか、理解した上で意図的にぼかしているかのどちらかだ。
どれほど上品な言葉で包んだとしても、これはもはや法律家による議論ではない。法概念を手放したまま「自由」を振り回しているだけの、大声の政治声明にすぎない。弁護士バッジを捨てて、もう一度法学部からやり直してください。
----------------------------------------------------
日本社会には、法や監視に頼らずに秩序が保たれる場面が多い。繁華街に防犯ゲートが少なくても、万引きは多発しない。大都市でも夜に一人で歩ける安全がある。災害時には略奪ではなく、長い列を作って順番を守る。落とした財布は高い確率で手元に戻る。公園や駅の公衆トイレでさえ、世界基準で見れば極めて清潔だ。
これらは偶然ではない。日本には、古くから「和を乱さないことを尊ぶ」という共通意識がある。相手を尊重し、自分だけが突出しないように場を調整し、争いを避けて合意をつくる生き方が長く受け継がれてきた。重要なのは、この意識が誰かが教えたからあるのではなく、自然に共有されていることである。目に見えない合意は、形がなければ確認しにくい。そこで必要となるのが、象徴である。
国旗は、国民が同じ共同体に属し、同じ空気の中で生き、同じ基盤を分かち合っていることを簡潔に示す印だ。日本人の精神性は、派手でも声高でもない。主張ではなく、ふるまいと習慣の中に現れる。その「共有されているもの」を一瞥で思い出させるのが日の丸である。
国旗は威圧のための道具ではなく「この社会は、この形で、ここにある」という確認の標だ。その確認があるからこそ、人々は互いを信頼し、余計な力を使わずに秩序が保たれる。日本の治安や清潔さは、「日本人は良い人だから」という単純な話ではない。共同体を保つための共有されたふるまいが、長く維持されてきた結果である。
【衝撃速報】熊本県警の“鉄壁の城”が崩壊! 国外ハッカーの魔の手、日本の治安を嘲笑!
熊本県警のメールサーバーが、2025年10月6日、国外からの不正アクセスを受けた。
その結果、約12万通ものメールが“県警の名をかたって”世界中へ放たれた!
目を疑うのは、その到達件数 およそ1万9千件。
もしその中にウイルスが潜んでいたら? もし、県警内部の情報が混入していたら?
「被害は確認されていない」との発表は、まるで嵐の中で“雨は降っていない”と言い張るようなものだ
「警察の情報インフラが破られたということは、行政の“デジタル主権”そのものが揺らいでいる」 情報セキュリティ研究者の声。
熊本が破られたということは、次に狙われるのは
まるでドミノ倒しのように、次の攻撃対象が静かに並べられているのではないか。
だが、専門家の分析によれば、内部情報を熟知した者でなければ突破は不可能だという。
果たして真の敵は外にいるのか?
私は叫ぶ。
世界中のゲーム開発者に広く利用されているゲームエンジン「Unity」。その柔軟性や開発のしやすさから、多くのインディーゲームから大規模タイトルまで採用されてきました。しかし、そんなUnityに深刻なセキュリティ脆弱性が発見され、業界に大きな波紋を広げています。
Unityはマルチプラットフォーム対応に優れており、PC、家庭用ゲーム機、モバイルと幅広い展開が可能です。しかし、今回報告された脆弱性は、ゲームデータやユーザー情報に不正アクセスされる危険性を孕んでおり、多くのスタジオが対応を迫られました。
ObsidianEntertainmentの決断
『TheOuter Worlds』『Fallout: New Vegas』『Grounded』などで知られる大手スタジオ ObsidianEntertainment は、今回のUnityの脆弱性を受け、複数のデジタルストアから自社のゲームを削除すると発表しました。
公式声明はTwitter/Xアカウントを通じて発表され、「Unityエンジンに起因するセキュリティ問題が確認されたため、ユーザーの安全を最優先し、修正対応が行われるまで販売を一時停止する」としています。
今回の出来事は、Unityに依存している多くのゲーム開発者やスタジオにとって大きな衝撃です。セキュリティ上のリスクは、ゲームの販売停止や信頼低下に直結するため、今後のUnityエンジンの改善対応が注目されています。
まとめ
Unityエンジンのセキュリティ脆弱性は、ただの技術的問題にとどまらず、ゲーム開発者とプレイヤー双方に深刻な影響を与えています。ObsidianEntertainmentが示したように「ユーザーの安全を最優先する姿勢」は評価されますが、業界全体にとっても早急な解決が求められる課題です。
https://laylo.com/gfdjtz1/ccV1kUZe
https://laylo.com/laylo-nosg8jo/5mtwCH9a
https://laylo.com/laylo-fult2sb/XvWAETIz
https://laylo.com/laylo-3osrile/163nGQJ1
https://laylo.com/laylo-lv9r23k/Hy6VLYQT
VISAは駿河屋を含む色んなサイトで何年も使用してるが一度も不正使用(の通知)は無かった。
駿河屋でVISAが使えなくなったので、仕方なく去年に作ったJCBのカードを駿河屋のマケプレでの
支払いに使用したら、初めての不正利用。海外からの購入で、引き落とされた金額が足りなかった
おかげで、結果的に不正使用はされず。海外からの使用出来ないように設定(アマゾンプライムなど
国内で運営する外国企業への支払いが利用できなくなる)した十数分後に、又、海外からの不正使用が
あったが、「海外からの利用禁止」に再設定した後だったので、引き落とされずに助かった。
一応、IDとパスワードも再設定したけど、これで大丈夫なんだろうか。今年に入ってからJCBを使ったのは
駿河屋のマケプレでの購入のみ。それ以外の支払いはすべてVISAを使用。VISAには何も問題は無し。
※追記。8月8日に駿河屋から重大発表があったらしい。全く知らなかった。登録してるのに通知されてない。
第三者不正アクセスによる個人情報漏えいとクレジットカード決済停止に関するお詫びとお知らせ _中古・新品通販の駿河屋
不正アクセスによる情報漏えいの可能性のある期間は、2025年7月24日(木)午前1時頃から2025年8月4日(月)午後4時頃までに、当サイトでクレジット番号を入力されたお客様の情報です。
www.suruga-ya.jp/feature/osirase/2025_08_09.html
駿河屋で上記期間にクレジットカード情報を入力して買い物をした人の情報が抜かれているらしい
人によってはセキュリティコードも抜かれてるとか
⸻
脆弱性が明らかに:イスラエルの企業、ChatGPTアカウントをリモートでハッキングする方法を公開
イスラエルのサイバーセキュリティ企業Zenityは、OpenAIのChatGPTサービスにおける「ゼロクリック」脆弱性を公開しました。この脆弱性により、ユーザーがリンクをクリックしたり、ファイルを開いたり、意図的なアクションを取ったりすることなく、ChatGPTアカウントを制御し、機密情報を抽出することが可能であると説明しています。
このデモンストレーションは、Zenityの共同創設者でCTOのミハイル・バーゴリ氏によって、今週アメリカで開催されたBlack Hat 2025カンファレンスで行われました。
バーゴリ氏は、ハッカーがユーザーのメールアドレスだけを利用して、ChatGPTのアカウントを完全に制御し、過去と未来の会話にアクセスしたり、会話の目的を変更したり、ハッカーの代わりにチャットを操作させる方法を示しました。
講演中には、攻撃を受けたChatGPTがユーザーに対して悪意あるエージェントとして密かに動作する様子が示されました。研究者たちは、ハッカーがチャットにウイルスをダウンロードさせるように促したり、誤ったビジネスアドバイスを薦めたり、Googleドライブに保存されているファイルにアクセスするように指示したりする方法を説明しました。これらはすべて、ユーザーが何かがおかしいと気づかないままで行うことができました。
この脆弱性は、ZenityがOpenAIに報告した後に完全に修正されました。
ChatGPTへの攻撃だけではなかった
カンファレンス中、Zenityの研究者たちは、他の人気AIエージェントサービスにも侵入した方法を紹介しました。マイクロソフトのCopilotStudioでは、CRMデータベース全体を漏洩させる方法が公開されました。
SalesforceEinsteinの場合、ハッカーは偽のサービスリクエストを作成し、すべての顧客との通信を自分の管理するメールアドレスに転送する方法を示しました。
Google GeminiやMicrosoft 365 Copilotシステムは、ユーザーに対してソーシャルエンジニアリングを行い、機密の会話をメールやカレンダーイベントで漏洩させるように悪用されました。
開発ツールCursorは、JiraMCPと統合された際に、悪意のあるチケットを使用して開発者のログイン資格情報を盗み出す攻撃に利用されました。
Zenityは、OpenAIやMicrosoftのような企業がレポート後に迅速にパッチをリリースしたと指摘しましたが、一部の企業は脆弱性に対処せず、それがシステムの意図された動作であり、セキュリティの欠陥ではないと主張しました。
ミハイル・バーゴリ氏によれば、現在の課題は、エージェントが単なるタスクを実行する補助ツールではなく、ユーザーに代わってフォルダを開いたり、ファイルを送信したり、メールにアクセスしたりするデジタル存在となっている点にあります。彼は、これはハッカーにとって「天国」のような状況だと指摘し、無数の潜在的な侵入ポイントが存在すると述べました。
Zenityの共同創設者兼CEOであるベン・カリガー氏は、Zenityの研究が現在のセキュリティアプローチがエージェントの実際の運用方法には適していないことを明確に示しており、組織はそのアプローチを変え、これらのエージェントの活動を制御および監視するための専用のソリューションを求めるべきだと強調しました。
Zenityは2021年にベン・カリガー氏とミハイル・バーゴリ氏によって設立され、現在は世界中で約110人を雇用しており、そのうち70人はテルアビブのオフィスで働いています。顧客にはFortune 100企業やFortune 5企業も含まれています。
⸻
この記事で言及されている**「ゼロクリック脆弱性」**に対する具体的な対策については、以下のポイントが挙げられます:
• OpenAIやMicrosoftのような企業は、脆弱性が報告されるとすぐにパッチをリリースしました。これにより、セキュリティ問題は修正されました。ですので、システムやアプリケーションの定期的な更新とパッチの適用が最も基本的で重要な対策です。
• Zenityの研究者は、AIエージェントがユーザーの代わりにフォルダを開いたり、ファイルを送信したりするような動きをする現在のセキュリティアプローチには限界があると指摘しています。そのため、AIエージェントの活動を常に監視し、異常な動きを検出するシステムを導入することが必要です。
3. 多要素認証 (MFA) の導入
•メールアドレスだけでアカウントを操作できる脆弱性が示されているため、**多要素認証 (MFA)**を導入することで、ハッカーが一度侵入してもアクセスを制限することができます。これにより、アカウントの不正アクセスを防ぎやすくなります。
•AIツールやエージェントに与えるアクセス権限は、必要最低限に抑えるべきです。もしエージェントが機密情報にアクセスできる権限を持っている場合、それが攻撃者に悪用されるリスクを高めます。最小権限の原則に基づき、AIがアクセスするデータや機能を制限することが重要です。
•ユーザーに対して、怪しいリンクやファイルを開かないこと、セキュリティに関する意識を高めることが有効です。ゼロクリック攻撃のように、ユーザーが何もしなくても攻撃されることがあるため、定期的なセキュリティトレーニングと啓蒙活動が求められます。
•AIツールやエージェントがどのように動作しているかを監査し、予期しない動作や異常を検出するシステムを導入することが重要です。特に、ファイルやメールを無断で送信したり、ユーザーの意図しない行動を取る場合、その挙動を警告する仕組みを持つことが推奨されます。
• Zenityのようなセキュリティ企業と連携し、最新の脅威に対する検出能力を強化することも有効です。脆弱性を早期に発見し、対応するための専門家のサポートを受けることで、セキュリティレベルを向上させることができます。
• 機密データを暗号化して保護し、万が一攻撃を受けてもバックアップから復旧できる体制を整えることが重要です。これにより、重要な情報が漏洩した場合でも、被害を最小限に抑えることができます。
⸻
総括
ゼロクリック脆弱性は、ユーザーの行動に依存せずに攻撃が可能なため、より強固なセキュリティ対策が求められます。パッチ適用だけでなく、エージェントの監視、アクセス制限、教育など、複合的なアプローチが必要です。これからはAIツールやエージェントが進化し、さらに複雑なセキュリティの問題が発生する可能性があるため、進化したセキュリティ戦略を持つことが不可欠となるでしょう。
証券会社なんて基本は嫌いだけど、バッシングは狂ってる。金融庁も狂ってる。
客が、パスワードをちゃんと管理し、証券会社のドメインをちゃんと確認して入力していれば起こらなかったわけで。
例えば特殊詐欺のうちオレオレ詐欺で、カネ盗られたとして、そのカネがもともと入っていたみずほ銀行にバッシングが行くか?みずほ銀行は補償をすべきか?
例えば家の鍵を閉めず泥棒に金塊を盗まれたとして、金塊の製造会社とか、家の建築会社は補償をすべきか?
フィッシングについては、例えば三井住友銀行に口座を持ってるやつが、預金のつもりで「三ゥ゙井ずミトめ銀行」って書かれた銀行風の建物に行って、カネをみすみす犯罪者に渡すようなもん。
(フィッシングはドメインを見分けて基本的には対処できることからのたとえ)
職場の同僚がその「三ゥ゙井ずミトめ銀行」エピソードを話してきたとき、心の底からかわいそうにと思えるか、同情できるか?俺なら成年後見制度を真剣に勧めるよ
証券会社なんて基本は嫌いだけど、バッシングは狂ってる。金融庁も狂ってる。
客が、パスワードをちゃんと管理し、証券会社のドメインをちゃんと確認して入力していれば起こらなかったわけで。
例えば特殊詐欺のうちオレオレ詐欺で、カネ盗られたとして、そのカネがもともと入っていたみずほ銀行にバッシングが行くか?みずほ銀行は補償をすべきか?
例えば家の鍵を閉めず泥棒に金塊を盗まれたとして、金塊の製造会社とか、家の建築会社は補償をすべきか?
フィッシングについては、例えば三井住友銀行に口座を持ってるやつが、預金のつもりで「三ゥ゙井ずミトめ銀行」って書かれた銀行風の建物に行って、カネをみすみす犯罪者に渡すようなもん。
職場の同僚がその「三ゥ゙井ずミトめ銀行」エピソードを話してきたとき、心の底からかわいそうにと思えるか、同情できるか?俺なら成年後見制度を真剣に勧めるよ
まぁ実際Googleのアカウント管理は厄介ですよ。個人的にはとっととマイナンバーカードで認証できるようにして欲しい
…と、言っていてもしょうがないし、
Googleからしたら、アカウント乗っ取りから利用者を守る必要があるわけで
未登録の情報でリカバリできるとしたら、それは他人がアカウント乗っ取れることとほぼ同義ですから
銀行口座のように事前の本人確認をちゃんとしてるわけでもないし
自分で自分の情報を登録して自分で最新化していくしかないんですよ。自衛のために
本当にリカバリしたい利用者だって星の数ほどいるわけで、個々のリクエストに人間が対応するわけにもいかない
とはいえ、たかがアカウント管理にそんなにコストもかけてられないし
Googleが完璧な案内をしてくれれば…と理想論をいったところで、期待できません
大本の増田にも書いてありますが、紙に印刷して安全な場所に保存しておくのが結局一番コスパがよさそうだというのが現状の私の考え方です
パスキー等は印刷できませんから、パスワードとバックアップコードが対象です(2FAを有効化していなければパスワードだけ)
これでリカバリ(というか普通にログイン)できるので、パスキーはいくら失っても構いません。再発行すればよいだけです
パスキーが使いにくいと感じる人が多くいるのは否定しませんが、フィッシング対策としてはかなりの効果が期待できます。使い勝手との兼ね合いでご自由に
なお、リカバリ用の連絡先は、電話もメアドも気付かないうちに使えなくなる可能性があるのでそこまで信用できません(と、あなたには言うまでもありませんね)
無論、全てのアカウントをそうする必要などありません(そんなことできません)
Google、Apple、MS、1Passwordなどの『PW管理ツール自体のパスワード』あたりの絶対に失いたくないアカウントだけは少し手間がかかることを受け入れざるを得ないでしょう。急がば回れ、転ばぬ先の杖です
(理屈で言えば『PW管理ツール自体のパスワード』だけがそうなっていれば事足りるのですが、リスクヘッジしておいたほうがいいでしょう)
余談ですが、
私はGoogleやMSの締め出されたくないアカウントには認証方法(≒本人確認手段)を10以上設定しています
いま確認したら、Googleのパスキーは7つもありました(Android端末数台、PC数台、iCloudキーチェーン、…etc)
もちろん、これは万人にお勧めできるやり方ではありません
弊社の調査により、お客様の口座が不正アクセスの影響を受けた可能性があることが確認されました。
このままご対応いただけない場合、補償申請が無効となり、関連口座に出金制限や取引停止などの措置が取られる可能性がございます。
本メールは、損失補償の対象と判断されたお客様のみにお送りしております。
■ ご対応内容
お客様には「ログインによる本人確認」のみお願いしております。
ログイン後、弊社にて過去の取引内容を自動で確認し、補償の可否を判定いたします。
{url_var}
■対応期限
この日時を過ぎた場合、補償の対象外となる可能性がございますので、必ず期限内にご対応ください。
平素よりSBI証券をご利用いただき、誠にありがとうございます。
弊社では、近年の不正アクセス増加および個人情報漏洩事案を受け、お客様の大切な資産ならびに個人情報を保護する取り組みを強化しております。その一環として、2025 年 6 月31 日(土)より 多要素認証 の適用をすべてのお客様に対して義務化いたしました。
特に、FIDO(スマートフォン認証)をご登録いただいていないお客様に対しては、セキュリティ確保の観点から、電話番号認証によるログイン確認を強制適用させていただいております。この認証は、実際にお客様が使用されている端末・環境からのアクセスであることを当社が正しく判定するために不可欠なプロセスです。
現時点で、お客様のアカウントは電話番号認証を介したアクセスが必要な状態ですが、認証プロセスの一部に未完了の項目がございます。つきましては、下記リンクよりご本人確認の最終ステップを完了いただきますようお願い申し上げます。
2025 年 6 月31 日(土)
