パスワードを忘れた? アカウント作成
14060286 story
アメリカ合衆国

米国政府が使用している.govドメインは簡単に取得できる 28

ストーリー by hylom
ソーシャルハック 部門より

Anonymous Coward曰く、

米国連邦政府が使用している「.gov」ドメインは米政府および地方行政に関連する機関が使用しているが、これらの組織に成りすまして.govドメインを取得することは簡単にできてしまうという(KrebsOnSecuritySlashdot)。

KrebsOnSecurityによると、ある研究者から、11月14日に「exeterri.gov」というドメインを取得することができたとこのドメインを使ったメールアドレスで報告があったという。

この研究者は、「.us」ドメインしか持たない米国の小さな町のサイトから公的機関の書簡用紙(公式レターヘッド)を入手。町の市長になりすまし、オンラインフォームに記入してメールで送信するだけで.govドメインを取得できたとしている。

.govドメインを取得するためには、管理者、技術担当者、請求担当者を記載した「承認フォーム」と、公式レターヘッドを使って文書を用意する必要がある。しかし、こうした自治体の公式レターヘッドを使った文書はネットにたくさん上がっており、ググるだけで簡単に偽造できたという。作成したものをメールまたはFAXで送信。その後、アカウント作成リンクをすべての連絡先に送信することでその町の名前を使った.govドメインを取得できたという。

  • by Anonymous Coward on 2019年12月02日 14時23分 (#3724818)

    公式レターヘッドなんか勝手に使って捕まっちゃわないの?

    ここに返信
    • by Anonymous Coward on 2019年12月02日 15時25分 (#3724850)

      アメリカ国内に居てバレたら捕まるでしょうね。
      でも悪用者はロシア人や中国人だったりするので、だから?って感じですかね。

      • by Anonymous Coward

        偽造govサイトの使い道がフィッシング詐欺ぐらいしか思いつかなかった。
        犯罪上等で違法にレターヘッド使ってもgovサイト作って、「還付金がありますからこの口座に$xx振り込んで!」とかやるんじゃないですかね。
        今回のでgovドメインであってもフィッシングサイトの可能性があるよってことが分かったわけですな。(サイトの乗っ取りは別ね)
        go.jpはどうかな。

    • by Anonymous Coward

      公文書偽造やら詐欺にはなるだろう
      でも故意犯に対して犯罪にならないのか?は「で?」っていう

      • 捕まってしまう行為を実行する事を「簡単に」って言うか?
        っていう話だと思うけれど。

        • by Anonymous Coward

          現実世界とネット世界だと言い方が変わってくるでしょうね
          現実世界なら法を犯さなきゃできないことを「簡単に」とはあまり言わないけど
          ネット世界の話だと無法者がたくさんいることが前提になっている場合が多い
          会社のWi-FiをWEPにしておいたら「簡単に」入れちゃうって怒られますもんね、違法だけど

      • by Anonymous Coward

        「犯罪にあたるので悪用されることはありえませーん」って迷信に対する
        法律や制度は目的をはっきり決めて漏れなく実装して検証しながら運用しましょうねって注意喚起だよね

      • by Anonymous Coward

        おまえが今息してるのは、殺人は重罪という抑止が働いてるからじゃねーの?
        普段からボディガードつけたり防刃ベスト着てたりする人なんだろうか。

    • by Anonymous Coward

      日本なら逮捕、アメリカならシステムの欠陥発見してもらってありがとう、
      みたいな対応だろうね

      • by Anonymous Coward

        そんなわけないだろ。
        違法行為で逮捕案件。
        フリーカーとか犯罪者扱いされとるわ。

    • by Anonymous Coward

      正義のためにはこの身を捨てるってタイプは投獄や死刑は覚悟の上だと思う

      • by Anonymous Coward

        本来の意味の確信犯だな

  • by Anonymous Coward on 2019年12月02日 14時28分 (#3724819)

    govドメインがあれば政府割引とか使えるかもしれないが、それにはもう一つ何かしら認証が必要な気がする。
    普通の使い道は詐欺かな。
    でも金銭利益にはつながりにくい。納税くらいしかネットで政府に金を払うって機会はないし。
    それよりacドメインのメールアドレスでもあれば色んな学割やら学生無料やらが使えて便利だな。そっちの方が欲しいかも。

    ここに返信
    • by Anonymous Coward on 2019年12月02日 14時37分 (#3724822)

      今どきは卒業生であればac.jpのメールアドレスは持てると思いますが、それだけでアカデミック割引で購入できるのですか?

    • by Anonymous Coward on 2019年12月02日 21時07分 (#3725102)

      うちの会社にも自慢げにアカデミック版使ってるバカいたわ。割れ使うのと何も変わらん。

      • by Anonymous Coward

        アカデミック版は、卒業後も使えるパターン(MS/Adobeの買い切りとか)が有るので、普通に有り得ますよ。
        # Adobe製品の通信教育で学割購入可能なんてのも有った。

    • by Anonymous Coward

      米国でも税金還付サギみたいなものはあるらしいけどね。
      ネット広告を見て言われるままに「手続き」を進めるとインドのコルセンに繋がって、
      「大変だ。システムを確認したら税金が未申告になっている、このままでは賠償金で
      刑事判決になる、今すぐiTunesカードを買って支払いをすれば還付金が入る」等々。
      理屈もメチャクチャ英語もヘタなんだけど引っかかる人は引っかかる。

    • by Anonymous Coward

      govリージョンのAWSにアクセス出来たらヤバいかも
      「どーせここは公開されない」って油断してガバガバ運用になってたりして

  • by Anonymous Coward on 2019年12月02日 14時51分 (#3724827)
    ガバガバでいいのか?
    ここに返信
  • by Anonymous Coward on 2019年12月02日 17時39分 (#3724976)

    sex.gov (言わずもがな)
    gov.gov (五分五分)

    案外難しいな

    # さらにsafe.sex.gov つくって、CDCかNIHに飛ばせばいいか。面白くはないな

    ここに返信
    • by Anonymous Coward

      hob.gov (ゴブリンは皆殺しだ)
       
      あとはお願いします。

  • 自由の国ですから。「相手がそう言ってんだからそうだろう」と自分で決め込むの自由までがセット。
    日本の窓口じゃ、ちゃんと所在や確認を(時間をかけてでも)取ってくれたほうが好印象なのに。
    メリケンさんはせっかちなんですね。

    #誠意ってなんだろうね。

    ここに返信
typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...