2010年03月20日
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する
- 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日
- プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日
【特設サイトURL】
パソコン http://www.happy-musiccycle.jp/
携帯電話 http://www.happy-musiccycle.jp/mobile/
このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。
- 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト
社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン!
エルマークを広めよう♪
www.happy-musiccycle.jp/
このいろいろな媒体で周知されているこのURLは、信用できるものと仮定しよう。しかし、当該サイトを見に行ってみると、図1のようになっている。
(この批評に必要不可欠な範囲で引用)
ここで、「アンケートへ応募する」をクリックするとどうなるか。図2の画面が出る。
景品を送付する先の個人情報を入力させる画面なのだが、ここはいったいどこなのか。入力しようとする前に、アドレスバーを確認してみると、図3のようになっている。
「krs.bz」というワケのわからないドメイン名であり、怪しいサイト同然になっている。
このページを、Internet Explorer で閲覧してみたところ、図4のようになった。
EV SSLが使われておりアドレスバーが緑になるが、表示された会社名は「Tricorn Corporation」という聞いたこともない謎の会社名になっている。
昨年6月27日に書いた「EV SSLを緑色だというだけで信用してはいけない実例」と同様の共用SSL上のフォーム作成サイトではないかと疑われるので、「site:krs.bz」で検索してみると、大量の同様のフォームが置かれたサイトだとわかる。
こんな得体の確認できないところに入力してはいけない。
図2の画面には「個人情報保護方針」のリンクがあるので、そこを見に行ってみると、図5の画面が出る。
「社団法人日本レコード協会」云々と書かれているが、この場所がまたワケのわからないサイト「campaignbox.com」になっている。いったいこいつらはなんなんだ。
では、最初の画面に戻って利用規約を見てみよう。「アンケートへ応募する」のボタンにも「利用規約に同意して」と、ちゃんと規約を読めとされていたのだから、読まねばならないだろう。
(この批評に必要不可欠な範囲で引用)
「当社は当フォームで取得した個人情報を第三者に提供、委託いたしません。」と書かれているが、「当社」というのは誰なのか? 下を見ると音楽6団体の署名になっているし、個人情報保護方針も「音楽関係6団体*(幹事、社団法人日本レコード協会、以下「当協会」という)は、」と書かれている。
もし、音楽関係6団体が、このキャンペーンにあたって、個人情報の取り扱いを「Tricorn Corporation」に委託していて、Tricorn Corporationの入力フォームサイト「krs.bz」はちゃんとしたサイトであると説明*1しているなら、このやり方もまあ許されるところかもしれない。利用者はその説明を聞いて、情報の入力場所が、音楽関係6団体が言う「信頼できるサイト」と同一であることを確認して入力することになる。
しかし、音楽関係6団体は、利用規約で「個人情報を第三者に委託いたしません」と言っている。そういう場合、利用者は、アドレスバーがたとえ緑色であろうとも、「Tricorn Corporation」などと表示されたサイトに入力してはいけない。*2
じつは、最初に訪れたキャンペーンサイトを https:// でアクセスしていれば、いちおう、安全に使うことができる。信用できる媒体で入手したキャンペーンサイトのURLが https:// であり、リンクを辿って個人情報入力画面に到達するまでの間、常に https:// ページであったこと*3を利用者が確認したならば、そこは本物ページだということになる。
しかし、普通の利用者にそんなことはできない。「安全なWebサイト利用の鉄則 / よくある質問と答え」に示されている考え方の通り、入力画面で利用者が確認できるようにしておくべきである。
ところで、「エルマーク」とは何だろうか? 「エルマーク」で検索してみると、ケータイ向けの「エルマークについて - Respect Our Music」というサイトが出てくる。
このサイトの場所はどこなのか。図7のように、またもや得体の知れないドメイン名になっている。
http://www.rom-m.jp/ のトップページに移動してみると、「携帯専用サイトです」と出る。
どうやら、「Respect Our Music」キャンペーンのトップページのようだ。社団法人日本レコード協会のページに、以下の説明があった。
(この批評に必要不可欠な範囲で引用)
「rom-m」って何だろうと思いつつ、ドメイン名「rom-m.jp」の所有者をwhoisで調べてみると、「株式会社見果てぬ夢」と出る。
音楽関係6団体はどういう感覚をしているのか。
けっきょく、これらはケータイ脳業者の感覚そのものなんだと思う。つまり、ドメイン名は存在しないも同然であり、どこだってかまわんという感覚だ。それもそのはず、ケータイの糞ブラウザには、昔から今までずっとアドレスバーが無く、むしろアドレスを隠す機能さえ付けていた*4ような業界だ。
聞くところによると、ケータイでは違法な音楽配信サイトが横行しているという。調べてみると、たしかに「無料」とうたう音楽配信サイトが大量に出てくるが、どれが信用できるのかできないのかわからない。
私は、携帯電話を買い替えたとき、着メロ等を購入する際には、公式メニューから辿って、良さげなものを探しに行くのだが、そのとき、どんな会社で買ったかということはほとんど覚えていない。聞いたこともない会社のサイトで購入しているわけだ。URLも確認していない。これは、公式メニューから辿っているからであるし、キャリアの課金システムで購入しているのだから、問題のあるサイトではないと信じることができる。
しかし、そういうやり方を続けてきたせいで、着メロ等の配信事業者は、いつまでたっても覚えてもらえないし、ドメイン名も覚えてもらえない。*5
そういう悪循環が繰り返される中、勝手サイトが成長し、人々は公式メニューよりも検索で訪れるという、ビジネスモデルの転換期が訪れた。その結果として、ケータイ利用者達は、怪しいサイトも正規のサイトも区別することなく、違法配信音楽をダウンロードしてしまう。これは必然ではないか。いったい誰に非難できることか?
音楽関係6団体が目指すべきは、正規サイトを会社名やドメイン名で覚えてもらうようにすることだろう。それなのに、音楽関係6団体自身が、自らドメイン名の信用性を損ねるキャンペーンを展開し続けている。
いつまで自分らの首を絞め続けるのか。自業自得とはこのことだ。
*1 誰でもフォームを設置できるサイトではなくて、トライコーン社の責任において信用できる会社(フィッシング行為をするはずがないと信用できる会社)にしか入力フォームの設置を許していないサイトであるとする説明。
*2 個人情報保護方針」のリンク先にも、「Tricorn Corporation」のことは書かれていない。
*3 もし、リンクの途中に http:// ページが挟まっており、そのページがすぐに https:// へリダイレクトするようになっていた場合、利用者は、途中に http:// のページがあったことに気付かないだろう。この場合、通信路上の改ざん攻撃により、偽の https:// ページへたどり着いてしまうことになる。このようなことが起きるのは、当該Webサイトが、http:// のページを挟んだことが原因であり、それはサイト運営者の責任であり、そのサイトの脆弱性と言える。
*4 2007年12月8日の日記「EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない」で、「vnd.up.markable」による「ブックマーク禁止」機能について触れている。
*5 せいぜいドワンゴが有名になったくらい?
フィッシング詐欺ってやだよね、怖いよね。
でだ、この間アメーバモバイルで、違法ダウンロードのアンケートに答えると抽選でQUOカードが当たる、見たいのがあって覗いてみたのだけれど・・・。
アンケートページに進むと、いきなり個人情報の入力になった。
フィッシング詐欺を防ぐための方法のひとつは、https という通信方法を採ることですが、 これを使ったからといって、情報が漏洩しない、とか 、フィッシング詐欺にはひっかからない、 と考えるのは早計です。 シャープが提唱し現在広く使われている、電子書籍用のフォーマ..
- はてなブックマークコメント ×179 : 171, 6, 1, 1 (2021-08-06)
- http://www.bing.com/search?q=https://krs.bz/hino-city/login&... ×4 (2020-01-23)
- http://www.bing.com/search?q=https://krs.bz/tkfd/m/forum117&... ×4 (2019-09-15)
- http://www.bing.com/search?q=https://krs.bz/pwc/m/konwakai19... ×4 (2019-08-04)
- http://www.bing.com/search?q=http://krs.bz/system110/login&f... ×4 (2019-05-19)
- http://www.bing.com/search?q=krs.bz&form=MSNH14&sc=8-4&sp=-1... ×7 (2018-11-06)
- https://duckduckgo.com/ ×8 (2018-06-16)
- https://www.bing.com/ ×30 (2016-02-22)
- https://www.google.co.jp ×61 (2015-08-30)
- Twitter [1] ×4 : 2, 1, 1 (2015-02-15)
- http://w0s.jp/diary/87 ×9 (2013-01-23)
- スラッシュドットarticle [11/05/29/2326238] ×67 : 27, 24, 11, 3, 1, 1 (2012-04-14)
- http://cpplover.blogspot.jp/2010/03/blog-post_21.html ×19 (2012-03-31)
- スラッシュドットcomments [533480] ×62 : 18, 15, 7, 7, 3, 2, 2, 2, 1, 1, 1, 1, 1, 1 (2011-05-31)
- Twitter [mihoko_nojiri] ×3 : 2, 1 (2011-01-25)
- Twitter [hashimoto_riken] ×11 (2011-01-25)
- http://twilog.org/hashimoto_riken ×4 (2011-01-25)
- http://dnets.creativehope.co.jp/cgi-bin/dnet/xforum.cgi?page... ×4 (2010-10-15)
- livedoor Blog [togotan] ×86 : 47, 39 (2010-07-13)
- http://ameblo.jp/hb3rd/entry-10511322176.html ×6 (2010-05-10)
- http://bakera.jp/ebi/2010/3 ×6 (2010-04-16)
- Twitter [todesking] ×6 : 4, 2 (2010-04-04)
- mixi bbs [51833039] ×48 : 19, 10, 9, 5, 3, 1, 1 (2010-04-03)
- http://bakera.jp/htmlbbs/inthread/5752 ×5 (2010-04-03)
- http://bakera.jp/ebi/topic/4094/comment ×51 (2010-04-03)
- セキュリティホールmemo ×1995 : 1626, 353, 12, 2, 1, 1 (2010-04-01)
- http://bakera.jp/ebi/2010/3/22 ×9 (2010-04-01)
- http://bakera.jp/ebi ×19 (2010-03-28)
- http://bakera.jp/ebi/topic/4087 ×132 (2010-03-28)
- http://ameblo.jp/hb3rd/entry-10493252111.html ×4 (2010-03-28)
- Twitter [bakera] ×2 : 1, 1 (2010-03-26)
- http://dnet.creativehope.co.jp/dnet/xforum.cgi?page=forumart... ×4 (2010-03-24)
- http://demo35.ultinet.jp/cgi-bin/dnet/xforum.cgi?page=foruma... ×6 (2010-03-24)
- Tumblr [extension-tsu] ×4 (2010-03-23)
- http://www2c.biglobe.ne.jp/~osakana/chat/hogech.cgi ×4 (2010-03-23)
- http://i-m.sub.jp/intermezzo/oneword/chabo2.cgi?p=1&v=5 ×4 (2010-03-23)
- http://inyo.jp/quote/54ac17a73438f7e334943f5f75490bf2e427f47... ×11 (2010-03-23)
- http://i-m.sub.jp/intermezzo/oneword/chabo2.cgi ×18 (2010-03-23)
- http://i-m.sub.jp/intermezzo/oneword/chabo.cgi ×76 (2010-03-23)
- http://119.245.185.108/ch/chabo.cgi ×26 (2010-03-22)
- http://techside.net/ch/chabo.cgi ×103 (2010-03-22)
- はてなダイアリー [yas-toro] ×34 : 32, 2 (2010-03-22)
- http://bakera.jp/htmlbbs/article/5736 ×4 (2010-03-22)
- はてなダイアリー [kogawam 20100321] ×4 : 3, 1 (2010-03-22)
- Tumblr [falso-ristorante] ×4 (2010-03-22)
- Twitter [m_shunou] ×23 : 22, 1 (2010-03-22)
- http://bakera.jp/ebi/topic/4080/comment ×70 (2010-03-22)
- http://wassr.jp/my/ ×6 (2010-03-22)
- http://bakera.jp/htmlbbs/inthread/5735 ×4 (2010-03-22)
- はてなダイアリー [yas-toro 20100321] ×14 : 13, 1 (2010-03-22)
- カトゆー ×238 : 225, 13 (2010-03-22)
- Twitter [himagine_no9] ×8 (2010-03-22)
- http://ckworks.jp/megaton/ ×16 (2010-03-22)
- Twitter [akihiko_jp] ×2 : 1, 1 (2010-03-21)
- http://www.2px.jp/mash/ ×6 (2010-03-21)
- Twitter [swmemo] ×3 : 2, 1 (2010-03-21)
- http://mixi.jp/recent_echo.pl ×5 (2010-03-21)
- http://seesmic.com/web/index.html?locale=en ×4 (2010-03-21)
- Twitter [kentarotakahash] ×14 (2010-03-21)
- Twitter [wms] ×4 (2010-03-21)
- http://yuki-lab.jp/diary/diar1003.html ×74 (2010-03-21)
- Twitter [hatebu] ×26 : 22, 3, 1 (2010-03-21)
- http://iptops.com/news/ ×22 (2010-03-21)
- krs.bz ×217 / キーワード不明 ×59 / 杜撰 ×30 / 高木浩光 ×16 / krs.bz/ ×14 / https://krs.bz ×9 / "krs.bz" ×8 / @krs.bz ×7 / フィッシング被害 ×6 / 音楽 アンケート ×5 / 音楽 著作権 ×5 / krs bz ×5 / whois krs.bz ×5 / フィッシング 被害 ×4 / Tricorn Corporation ×4 / エクスペディア ×4 / https://krs.bz/ ×4 / 音楽配信 アンケート ×4 / http://www.happy-musiccycle.jp/ ×3 / アンケート ×3 / 音楽著作権団体 ×3 / 株式会社見果てぬ夢 ×3 / 助長 ×3 / 音楽 違法ダウンロード 被害 ×3 / "krs.vz" ×3 / 著作権 アンケート ×3 / phishing 2010 被害 ×3 / krs.bzとは ×3 / 高木浩光 フィッシング ×3 / 高木浩光 トライコーン ×2 / エルマークてどこにあるの? ×2 / 著作権 被害 ×2 / takagi hiromitsu 音楽 ×2 / 杜撰な ×2 / 著作権団体 ×2 / krs.bz どこのフォーム ×2 / http://takagi-hiromitsu.jp/diary/20100320.html ×2 / http://krs.bz/ ×2 / krs.bz スパム ×2 / 音楽著作権 アンケート ×2 / krs.bz とは ×2 / TRICORN Corporation ×2 / 高木浩光 音楽 ×2 / エルマークどこ ×2 / krs,bz ×2 / 著作権 被害 音楽 ×2 / 高木浩光 jasrac ×2 / 規約 音楽団体 ×2 / 高木浩光 "音楽著作権団体" ×2 / 音楽 ダウンロード 被害 ×2