米国政府が使用している.govドメインは簡単に取得できる 28
ストーリー by hylom
ソーシャルハック 部門より
ソーシャルハック 部門より
Anonymous Coward曰く、
米国連邦政府が使用している「.gov」ドメインは米政府および地方行政に関連する機関が使用しているが、これらの組織に成りすまして.govドメインを取得することは簡単にできてしまうという(KrebsOnSecurity、Slashdot)。
KrebsOnSecurityによると、ある研究者から、11月14日に「exeterri.gov」というドメインを取得することができたとこのドメインを使ったメールアドレスで報告があったという。
この研究者は、「.us」ドメインしか持たない米国の小さな町のサイトから公的機関の書簡用紙(公式レターヘッド)を入手。町の市長になりすまし、オンラインフォームに記入してメールで送信するだけで.govドメインを取得できたとしている。
.govドメインを取得するためには、管理者、技術担当者、請求担当者を記載した「承認フォーム」と、公式レターヘッドを使って文書を用意する必要がある。しかし、こうした自治体の公式レターヘッドを使った文書はネットにたくさん上がっており、ググるだけで簡単に偽造できたという。作成したものをメールまたはFAXで送信。その後、アカウント作成リンクをすべての連絡先に送信することでその町の名前を使った.govドメインを取得できたという。
取れるには取れるのだろうが (スコア:1)
公式レターヘッドなんか勝手に使って捕まっちゃわないの?
Re:取れるには取れるのだろうが (スコア:1)
アメリカ国内に居てバレたら捕まるでしょうね。
でも悪用者はロシア人や中国人だったりするので、だから?って感じですかね。
Re: (スコア:0)
偽造govサイトの使い道がフィッシング詐欺ぐらいしか思いつかなかった。
犯罪上等で違法にレターヘッド使ってもgovサイト作って、「還付金がありますからこの口座に$xx振り込んで!」とかやるんじゃないですかね。
今回のでgovドメインであってもフィッシングサイトの可能性があるよってことが分かったわけですな。(サイトの乗っ取りは別ね)
go.jpはどうかな。
Re: (スコア:0)
公文書偽造やら詐欺にはなるだろう
でも故意犯に対して犯罪にならないのか?は「で?」っていう
Re:取れるには取れるのだろうが (スコア:2)
捕まってしまう行為を実行する事を「簡単に」って言うか?
っていう話だと思うけれど。
Re: (スコア:0)
現実世界とネット世界だと言い方が変わってくるでしょうね
現実世界なら法を犯さなきゃできないことを「簡単に」とはあまり言わないけど
ネット世界の話だと無法者がたくさんいることが前提になっている場合が多い
会社のWi-FiをWEPにしておいたら「簡単に」入れちゃうって怒られますもんね、違法だけど
Re: (スコア:0)
「犯罪にあたるので悪用されることはありえませーん」って迷信に対する
法律や制度は目的をはっきり決めて漏れなく実装して検証しながら運用しましょうねって注意喚起だよね
Re: (スコア:0)
おまえが今息してるのは、殺人は重罪という抑止が働いてるからじゃねーの?
普段からボディガードつけたり防刃ベスト着てたりする人なんだろうか。
Re:取れるには取れるのだろうが (スコア:2)
ふつうは違う。
殺人する理由がないから。
理由があった場合には、「重罪」は意外と抑止になってないような。
Re: (スコア:0)
日本なら逮捕、アメリカならシステムの欠陥発見してもらってありがとう、
みたいな対応だろうね
Re: (スコア:0)
そんなわけないだろ。
違法行為で逮捕案件。
フリーカーとか犯罪者扱いされとるわ。
Re: (スコア:0)
正義のためにはこの身を捨てるってタイプは投獄や死刑は覚悟の上だと思う
Re: (スコア:0)
本来の意味の確信犯だな
govかぁ (スコア:0)
govドメインがあれば政府割引とか使えるかもしれないが、それにはもう一つ何かしら認証が必要な気がする。
普通の使い道は詐欺かな。
でも金銭利益にはつながりにくい。納税くらいしかネットで政府に金を払うって機会はないし。
それよりacドメインのメールアドレスでもあれば色んな学割やら学生無料やらが使えて便利だな。そっちの方が欲しいかも。
Re:govかぁ (スコア:1)
今どきは卒業生であればac.jpのメールアドレスは持てると思いますが、それだけでアカデミック割引で購入できるのですか?
Re:govかぁ (スコア:2, 興味深い)
余裕じゃん
https://helpx.adobe.com/jp/x-productkb/policy-pricing/7448.html [adobe.com]
Re:govかぁ (スコア:1)
うちの会社にも自慢げにアカデミック版使ってるバカいたわ。割れ使うのと何も変わらん。
Re: (スコア:0)
アカデミック版は、卒業後も使えるパターン(MS/Adobeの買い切りとか)が有るので、普通に有り得ますよ。
# Adobe製品の通信教育で学割購入可能なんてのも有った。
Re: (スコア:0)
米国でも税金還付サギみたいなものはあるらしいけどね。
ネット広告を見て言われるままに「手続き」を進めるとインドのコルセンに繋がって、
「大変だ。システムを確認したら税金が未申告になっている、このままでは賠償金で
刑事判決になる、今すぐiTunesカードを買って支払いをすれば還付金が入る」等々。
理屈もメチャクチャ英語もヘタなんだけど引っかかる人は引っかかる。
Re: (スコア:0)
govリージョンのAWSにアクセス出来たらヤバいかも
「どーせここは公開されない」って油断してガバガバ運用になってたりして
そんな (スコア:0)
関連ストーリーにあるが (スコア:1)
.ac.jpを風俗情報サイトが取れてしまう [it.srad.jp]くらい審査がガバガバなうえレジストリが指定事業者に責任転嫁した国もあるらしいですよ。この話を聞く限り.eduも大差なさそうだ
Re: (スコア:0)
comic.gov.cnは日本の漫画の違法配信サイトとして使われてたしな
http://ochibohiroi.blog102.fc2.com/blog-entry-123.html [fc2.com]
https://www.nanjingmarketinggroup.com/blog/translation/chinese-comic-a... [nanjingmar...ggroup.com]
よし、わけのわからないドメイン取ろうぜ(大喜利 (スコア:0)
sex.gov (言わずもがな)
gov.gov (五分五分)
案外難しいな
# さらにsafe.sex.gov つくって、CDCかNIHに飛ばせばいいか。面白くはないな
Re: (スコア:0)
hob.gov (ゴブリンは皆殺しだ)
あとはお願いします。
リスク回避のための確認作業より性善説のウェイトが高い (スコア:0)
自由の国ですから。「相手がそう言ってんだからそうだろう」と自分で決め込むの自由までがセット。
日本の窓口じゃ、ちゃんと所在や確認を(時間をかけてでも)取ってくれたほうが好印象なのに。
メリケンさんはせっかちなんですね。
#誠意ってなんだろうね。
Re:リスク回避のための確認作業より性善説のウェイトが高い (スコア:1)