2008年08月19日
グリーファーにおける対処
今年7月に起こった事件で、事はアメリカなんですがファリーSIM(獣人とか人型以外かあるいは擬人化したアバターの集まるSIM)において、グリーファーが行った嫌がらせがあったそうですが、なんとこれがエスカレートして、RLにおいてピザの出前を大量に勝手に発注して送りつけたり、DDOS攻撃(DDoS(分散サービス妨害)とは、第三者のマシンに攻撃プログラムを仕掛けて踏み台にし、その踏み台とした多数のマシンから標的とするマシンに大量のパケットを送信、通信不能にさせるほか、処理に追われたPCがフリーズしてシャットダウンさえ受け付けなくする状態にする攻撃。厨房と呼ばれる”ガキ”ハッカーがよく使う手。)でWEBサイトを落としたりと、なんともエゲツナイ嫌がらせで、ついにはFBI出動騒ぎになったんだそうです・・^^;;
記事は以下。
http://foo.secondlifeherald.com/slh/2008/07/outrageous-hara.html
で、まあG-チームと呼ばれるリンデンのグリフィング対策チームがいるんですが、(正確にはGovernance Team )よくある手としては、捨てアカウントをまず作っておき、大量のプリムを発生させるスクリプトを用いて特定のSIMへいき、多量にプリムを置いたり、大音量の音声などを発生。平たく言えば迷惑行為を堂々とやる連中のことです。
SLビュワーには、この嫌がらせ報告の機能がきちんとあるんですが、日本ではあまり使われてる様子は少ないようですね^^;;。ちなみに私はよく使います^^。
最近ではアカウント停止処分というよりも、まずはSIMのモニタリングを敢行。強制再起動などの処置がほとんどのようで、SL5Bでもやはりありました^^;;。
FreeDoveという初心者向けフリーショップでも、似たような輩がいまして、本人に注意した後リンデンに直接報告したことがあります。^^すぐに収まりましたけどね^^。
SLPCでもいずれこの嫌がらせ報告については、キチンとした方法を記事に起こしますが、根本的にネット・ゲーム感覚から逸脱出来ない方にこのタイプが多いです。要するに「孤独な方」。人それぞれですが、こうした方法でしか他人と接することが出来ない一部の人はどこの世界にもいるモノですので、排除しようとするより、「まあまあ、おこちゃまなのね・・」で、一笑しておくに限るとも言えますが・・。^^
で、まあ上記の事件の場合、匿名で電話でのやり取りを録音していたらしく、WEBで公開されています。MP3なのでダウンロードすると、もめてる様子がよくわかります。^^
http://www.mediafire.com/?xbtxwjnzmxf
どれくらい「おこちゃま」なのかは、マイクロソフトの以下の記事を読めばわかるでしょう・・^^。要するに”ガキ”です^^。
http://www.microsoft.com/japan/protect/family/activities/griefers.mspx
まず大まかにわけて、私が遭遇した連中は以下のようなモノ。
*マスターベーションのアニメを見せつけながらPGエリアでIMを送り、スケベな単語を列挙。
*馬鹿でかいプリムを連続して置きまくる。
*異常なまで鬱陶しいパーティクルを広範囲に意味もなく出し続ける。
*腰をいかにもスケベらしく動かして、抱きついて離れない。
等々。
どれも書き並べると、実に”バカバカしい”行動ですが、何故か男性アバターに多いんですよね。
何となくですがわかるような気がします・・・・。何故かは敢えて書きませんが・・。
で、こうした幼稚な行為は、「身元がバレナイ」と勝手に思いこんでるようですが、実のところ例え捨てアカウントだとしても、ホントの捨てメールはSLでは使えないので、(数日後メアドが生きているかどうかの確認をかねて、リンデンからメールが送られてくる)身元はハッキリわかってしまうんですが・・。実はブログのコメントも同様。気をつけて下さいね^^全てのサーバーはログを記録できますので・・。
上記の遭遇した輩の中には、私が注意したことに逆ギレしてトラップを仕掛けたヤツがいましたが、翌日アカウント停止になってました。^^;;私の場合、ログだけではなく別ソフトからSSをとりますし、様々な情報をその場で取り入れてしまいますので、リンデンに証拠として提出し易い状況なのです。この点を前に同じようなことをした輩に、「自分の持ってるIDすら晒されるくらい怖いこと無いでしょ?(IDとはいろんな意味で^^;)もちろんSLのことじゃないわよ」と言ってみたところ、L$を転送してきて「カンベンして下さい」と謝られました^^;;。
ネットに匿名など幻想です。^^;;
で、このリンデンのGチーム。いわゆる宣伝ビデオが公式ブログに公開されています。
http://blog.secondlife.com/2008/08/16/how-to-report-abuse-and-handle-griefing-video-tip-of-the-week-47/
それと日本語サポートを中継するよりも、英語ですが直接リンデンサポートにチケット切ってサポート受けたほうがトラブル解決は意外と早いです。
このブログを以前から読んでる方は、何度か私がリンデンのサポートを受けているのをご存じでしょう。
まあ遭遇したら退治するのではなく、対峙して対処する姿勢が大事です。連中「どうせ痛くも痒くもないじゃん」とか考えの基に、こうした”ガキ行為”に及んでるんですから、決して武器で対応はいけません。逆に訴えられます。またMATURE指定は特に制限がないからといって、BIG6を冒せば結局同罪です。
要するに「仲良くやるよりも、ボクちゃん凄いんだぞ」って言いたい連中ですので、リンデンから「まあお宅は来なくてイイヤ」と言われればいいわけ。^^
どっかの殺人鬼のように”注目=賞賛”と勘違いしてるボンクラは、ネットだけではなく至る所にいます。
”賞賛=注目”なんですけどね・・。嫌われて注目って・・なんだかカナシイ人たち・・。
記事は以下。
http://foo.secondlifeherald.com/slh/2008/07/outrageous-hara.html
で、まあG-チームと呼ばれるリンデンのグリフィング対策チームがいるんですが、(正確にはGovernance Team )よくある手としては、捨てアカウントをまず作っておき、大量のプリムを発生させるスクリプトを用いて特定のSIMへいき、多量にプリムを置いたり、大音量の音声などを発生。平たく言えば迷惑行為を堂々とやる連中のことです。
SLビュワーには、この嫌がらせ報告の機能がきちんとあるんですが、日本ではあまり使われてる様子は少ないようですね^^;;。ちなみに私はよく使います^^。
最近ではアカウント停止処分というよりも、まずはSIMのモニタリングを敢行。強制再起動などの処置がほとんどのようで、SL5Bでもやはりありました^^;;。
FreeDoveという初心者向けフリーショップでも、似たような輩がいまして、本人に注意した後リンデンに直接報告したことがあります。^^すぐに収まりましたけどね^^。
SLPCでもいずれこの嫌がらせ報告については、キチンとした方法を記事に起こしますが、根本的にネット・ゲーム感覚から逸脱出来ない方にこのタイプが多いです。要するに「孤独な方」。人それぞれですが、こうした方法でしか他人と接することが出来ない一部の人はどこの世界にもいるモノですので、排除しようとするより、「まあまあ、おこちゃまなのね・・」で、一笑しておくに限るとも言えますが・・。^^
で、まあ上記の事件の場合、匿名で電話でのやり取りを録音していたらしく、WEBで公開されています。MP3なのでダウンロードすると、もめてる様子がよくわかります。^^
http://www.mediafire.com/?xbtxwjnzmxf
どれくらい「おこちゃま」なのかは、マイクロソフトの以下の記事を読めばわかるでしょう・・^^。要するに”ガキ”です^^。
http://www.microsoft.com/japan/protect/family/activities/griefers.mspx
まず大まかにわけて、私が遭遇した連中は以下のようなモノ。
*マスターベーションのアニメを見せつけながらPGエリアでIMを送り、スケベな単語を列挙。
*馬鹿でかいプリムを連続して置きまくる。
*異常なまで鬱陶しいパーティクルを広範囲に意味もなく出し続ける。
*腰をいかにもスケベらしく動かして、抱きついて離れない。
等々。
どれも書き並べると、実に”バカバカしい”行動ですが、何故か男性アバターに多いんですよね。
何となくですがわかるような気がします・・・・。何故かは敢えて書きませんが・・。
で、こうした幼稚な行為は、「身元がバレナイ」と勝手に思いこんでるようですが、実のところ例え捨てアカウントだとしても、ホントの捨てメールはSLでは使えないので、(数日後メアドが生きているかどうかの確認をかねて、リンデンからメールが送られてくる)身元はハッキリわかってしまうんですが・・。実はブログのコメントも同様。気をつけて下さいね^^全てのサーバーはログを記録できますので・・。
上記の遭遇した輩の中には、私が注意したことに逆ギレしてトラップを仕掛けたヤツがいましたが、翌日アカウント停止になってました。^^;;私の場合、ログだけではなく別ソフトからSSをとりますし、様々な情報をその場で取り入れてしまいますので、リンデンに証拠として提出し易い状況なのです。この点を前に同じようなことをした輩に、「自分の持ってるIDすら晒されるくらい怖いこと無いでしょ?(IDとはいろんな意味で^^;)もちろんSLのことじゃないわよ」と言ってみたところ、L$を転送してきて「カンベンして下さい」と謝られました^^;;。
ネットに匿名など幻想です。^^;;
で、このリンデンのGチーム。いわゆる宣伝ビデオが公式ブログに公開されています。
http://blog.secondlife.com/2008/08/16/how-to-report-abuse-and-handle-griefing-video-tip-of-the-week-47/
それと日本語サポートを中継するよりも、英語ですが直接リンデンサポートにチケット切ってサポート受けたほうがトラブル解決は意外と早いです。
このブログを以前から読んでる方は、何度か私がリンデンのサポートを受けているのをご存じでしょう。
まあ遭遇したら退治するのではなく、対峙して対処する姿勢が大事です。連中「どうせ痛くも痒くもないじゃん」とか考えの基に、こうした”ガキ行為”に及んでるんですから、決して武器で対応はいけません。逆に訴えられます。またMATURE指定は特に制限がないからといって、BIG6を冒せば結局同罪です。
要するに「仲良くやるよりも、ボクちゃん凄いんだぞ」って言いたい連中ですので、リンデンから「まあお宅は来なくてイイヤ」と言われればいいわけ。^^
どっかの殺人鬼のように”注目=賞賛”と勘違いしてるボンクラは、ネットだけではなく至る所にいます。
”賞賛=注目”なんですけどね・・。嫌われて注目って・・なんだかカナシイ人たち・・。
2008年08月08日
気になる情報流失
Naturum Island Resort という場所をご存じでしょうか?
私は基本的に日本人SIMには行かないし、フィッシング自体しませんので関係ないのですが、気になる記事を発見しまして、「コレってどうなの?」と感じたので、ちょっと注意を喚起するという意味で今回は書くことにしましょう。
気になる記事というのは以下。
http://internet.watch.impress.co.jp/cda/news/2008/08/06/20498.html
なんかこれがどうしたの?って、思われるかも知れませんが、ショッピングサイト「アウトドア&フィッシング ナチュラム」、には顧客マスターには、ショッピングサイトの「アウトドア&フィッシング ナチュラム」「ナチュラムモバイルショップ」のほか、ブログサービス「blog@naturum」の利用者情報が記録・・・・とあります。
blog@naturumとは以下。敢えてSSはとってません。リンクを開くと「あ、」と思うでしょう。
http://blog.naturum.ne.jp/
どうでしょう?右隅のバナー・・・・見覚えありませんか?
もう一度記事の内容をピックアップすると、
”ミネルヴァ・ホールディングスによれば、7月9日にクレジットカード会社からカード情報流出の可能性があるとして調査依頼があり、7月10日にセキュリティ専門会社による調査を開始。外部からの不正アクセスの痕跡が発見され、この時点では情報流出の有無は不明であったが、不正アクセスの可能性のある外部からのルートをすべて遮断するとともに、システム内のクレジットカード情報をすべて削除し、クレジット決済を一時休止した”
”その後、7月18日に個人情報を閲覧された痕跡が確認されたため、流出の可能性がある顧客の特定作業を開始。8月6日に、Webサイトで事態を公表するとともに、流出の可能性がある顧客に対してメールを配信したという。また、カード決済については、セキュリティ専門会社による診断により安全性が確認されたため、7月22日から再開した”
”不正アクセスの原因については、セキュリティ専門会社の分析の結果、犯人はメンテナンス用のサーバーに不正侵入し、このサーバーを経由してWebサーバーに不正アクセス用のプログラムを設置したと推定・・(以下略)・・2000年5月~2008年7月10日の間に買い物や会員登録などをした顧客の個人情報を収めた「顧客マスター」が閲覧され、個人情報が流出した可能性が高いとしている”
犯人が使った方法とは、SQLインジェクション攻撃。
SQLインジェクション攻撃とは?
===============================
インジェクション(injection)とは、内部に何かを注入することを意味する言葉。
プログラムがごく普通に受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させてしまう攻撃手口のことをいう。
インジェクション攻撃の中で最も代表的なものには、データベースに干渉して情報漏えい・情報改ざんを引き起こすSQLインジェクション攻撃がある。
攻撃者はまずWEBサイトにアクセスし、フォーム入力からデーターベースの解釈できるプログラム言語SQL文を用意し、ウェブから直接データーベースへアクセスを試みる。実際は商品テーブルを検索して商品コードから商品名と価格を得る方法などが業務で利用されるが、時にJAVAなどの言語が使われる。
問題はデーターベースアクセスに通常のWEBフォームを用意してしまうこと。PHPなどはWEBページそのものを改ざん出来るが、管理者の甘い考えで(利便性とセキュリティーバランスの考え方を甘く見ている)安易なSQL文を組み立ててデーターベースを構築。国内では多くのサイトが既によく知られたインターフェイスを使う簡素なシステムを好む傾向がるため、例えば背後にMySQLのような構文が既によく知られてしまっているDB(データーベース)を元にしている場合が多い。
例えばログインの場面で、ユーザからユーザIDとパスワードを受け取り、それらが正しいかどうか判定するコードの一部などは、2つの組み合わせの整合性しかチェックをしない。要するにプログラム上では変数の値をみているだけ。
これはたった一文で攻撃する事が出来ます^^;;
まず文字定数といういわば文字列の範囲を、越えてしまうかその外へ検索対象とする命令を出す(SQL構文では一文字のみ)。次に常にTRUEとなるよう、検索条件をねじ曲げる。要するに「この文字列はあろうが無かろうが常に正しい」ので、ブルートフォース攻撃宜しく総当りでユーザー名、パスワードを変数に代入するコードを関数として取り込んだプログラムコードを組み込めばいいということになります。
つまり本来ユーザー名、パスワード入力フォームを打込むところに、あり得ないSQL文を打込み、検索フォームとして利用しようという手口。しかも特定の文字列をコメントとして無視するコード(具体的には2文字のコード)があるので、ソートしてしまえば、4文字とか6文字とかパスワードとして利用される文字数がすぐにわかるというわけ・・。
攻撃者が与えた文字列がSQL文の文法要素として働くように仕向けるので、これはサーバー側から履歴を読んでもそれが管理者が行ったものなのか、攻撃者なのかはよくわからない。
手口が発覚するとすれば、WEBサーバーの情報を保持しているプロクシ及び、ウェブサーバーのおかしなアクセス記録だろうし、(フォームに打込んでる様子がおかしいといった感じ。何度も繰り返し打ち込みをしているとか・・)
この方法が怖いのは、管理者のパスワードも盗み出すことが出来るため、ヘタすれば管理者が席を離れた途端、バックドアを仕掛けサーバーを再起動させることが出来てしまう。(サーバーのログイン状況は攻撃者の手中にあるため、ログファイルを偽装工作されてしまう)こうなると攻撃の記録は消すことが出来る。
===============================
で、上記のサイトはこの攻撃に晒された形跡が見つかったというわけ。恐らく犯人は特定できないでしょうね。ミネルヴァ・ホールディングスでは、事態を公表するとともに、事件の経緯や流出した可能性のあるデータの内容、事件に関するFAQを開設したほか、フリーダイヤルによる問い合わせ窓口を設置。ユーザーに対して説明を行うとともに、登録パスワードの変更を求めているそうです。
・・ココで言いたいのは、もしかしかしたらこのNaturum Island Resort というSL内ゲームで、このサイトを知った場合・・・考えたくありませんが「SLアカウントと同じパスワードを使っている」ことは考えられないでしょうか?しかし残念ながら関係サイト全てに注意を喚起していない点は気になります。無関係ではないのに・・・・・。
本来はこういう心配事は、サービス提供側が公の場でキチンと説明すべきですが、ココ→http://www.minerva-hd.com/faq_c_080806/index.htmlぐらいしかアナウンスされていません・・。
先方の対応がどうでアレ、結局”自己責任”でいわれれば立つ瀬がありませんよね?
ショッピングサイト構築というよくある民間のサービスの場合、私見ですが”信用できるのと実績とは無関係。問題は攻撃者へのサイトの耐性だ”とはよく言われるところです。
攻撃者の手口をよく知る管理者を配備する「国内WEBサービス企業」が一体どのくらいなのかは、私はこの問いに「・・・・・・・」という無言で応えるでしょう。その意味はユーザであるあなたが想像するしかありません。
最近よく「インターネットに匿名はない」とか報道されてますよね?
この報道、攻撃者は以下のように思っているでしょう。
その影で笑いながら「確かにそうだよね。それがそうじゃないって誰もがわかったら、俺等の商売あがったりだよ^^」と。
私もよくこの事は知っていますが、httpsから始るSSL通信は既にサーバー権限を奪取されていれば、なんのお役にも立ちません・・。リンデンはL$購入の際、サイトから購入する場合何故か2度情報入力を求めるというのは、(最初にログインするが、L$を買うとき、もう一度ログインし直すようになっている)とりもなおさずこの”攻撃者手口”をよく知っているからです。
以上ある事件からの話題でした^^
私は基本的に日本人SIMには行かないし、フィッシング自体しませんので関係ないのですが、気になる記事を発見しまして、「コレってどうなの?」と感じたので、ちょっと注意を喚起するという意味で今回は書くことにしましょう。
気になる記事というのは以下。
http://internet.watch.impress.co.jp/cda/news/2008/08/06/20498.html
なんかこれがどうしたの?って、思われるかも知れませんが、ショッピングサイト「アウトドア&フィッシング ナチュラム」、には顧客マスターには、ショッピングサイトの「アウトドア&フィッシング ナチュラム」「ナチュラムモバイルショップ」のほか、ブログサービス「blog@naturum」の利用者情報が記録・・・・とあります。
blog@naturumとは以下。敢えてSSはとってません。リンクを開くと「あ、」と思うでしょう。
http://blog.naturum.ne.jp/
どうでしょう?右隅のバナー・・・・見覚えありませんか?
もう一度記事の内容をピックアップすると、
”ミネルヴァ・ホールディングスによれば、7月9日にクレジットカード会社からカード情報流出の可能性があるとして調査依頼があり、7月10日にセキュリティ専門会社による調査を開始。外部からの不正アクセスの痕跡が発見され、この時点では情報流出の有無は不明であったが、不正アクセスの可能性のある外部からのルートをすべて遮断するとともに、システム内のクレジットカード情報をすべて削除し、クレジット決済を一時休止した”
”その後、7月18日に個人情報を閲覧された痕跡が確認されたため、流出の可能性がある顧客の特定作業を開始。8月6日に、Webサイトで事態を公表するとともに、流出の可能性がある顧客に対してメールを配信したという。また、カード決済については、セキュリティ専門会社による診断により安全性が確認されたため、7月22日から再開した”
”不正アクセスの原因については、セキュリティ専門会社の分析の結果、犯人はメンテナンス用のサーバーに不正侵入し、このサーバーを経由してWebサーバーに不正アクセス用のプログラムを設置したと推定・・(以下略)・・2000年5月~2008年7月10日の間に買い物や会員登録などをした顧客の個人情報を収めた「顧客マスター」が閲覧され、個人情報が流出した可能性が高いとしている”
犯人が使った方法とは、SQLインジェクション攻撃。
SQLインジェクション攻撃とは?
===============================
インジェクション(injection)とは、内部に何かを注入することを意味する言葉。
プログラムがごく普通に受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させてしまう攻撃手口のことをいう。
インジェクション攻撃の中で最も代表的なものには、データベースに干渉して情報漏えい・情報改ざんを引き起こすSQLインジェクション攻撃がある。
攻撃者はまずWEBサイトにアクセスし、フォーム入力からデーターベースの解釈できるプログラム言語SQL文を用意し、ウェブから直接データーベースへアクセスを試みる。実際は商品テーブルを検索して商品コードから商品名と価格を得る方法などが業務で利用されるが、時にJAVAなどの言語が使われる。
問題はデーターベースアクセスに通常のWEBフォームを用意してしまうこと。PHPなどはWEBページそのものを改ざん出来るが、管理者の甘い考えで(利便性とセキュリティーバランスの考え方を甘く見ている)安易なSQL文を組み立ててデーターベースを構築。国内では多くのサイトが既によく知られたインターフェイスを使う簡素なシステムを好む傾向がるため、例えば背後にMySQLのような構文が既によく知られてしまっているDB(データーベース)を元にしている場合が多い。
例えばログインの場面で、ユーザからユーザIDとパスワードを受け取り、それらが正しいかどうか判定するコードの一部などは、2つの組み合わせの整合性しかチェックをしない。要するにプログラム上では変数の値をみているだけ。
これはたった一文で攻撃する事が出来ます^^;;
まず文字定数といういわば文字列の範囲を、越えてしまうかその外へ検索対象とする命令を出す(SQL構文では一文字のみ)。次に常にTRUEとなるよう、検索条件をねじ曲げる。要するに「この文字列はあろうが無かろうが常に正しい」ので、ブルートフォース攻撃宜しく総当りでユーザー名、パスワードを変数に代入するコードを関数として取り込んだプログラムコードを組み込めばいいということになります。
つまり本来ユーザー名、パスワード入力フォームを打込むところに、あり得ないSQL文を打込み、検索フォームとして利用しようという手口。しかも特定の文字列をコメントとして無視するコード(具体的には2文字のコード)があるので、ソートしてしまえば、4文字とか6文字とかパスワードとして利用される文字数がすぐにわかるというわけ・・。
攻撃者が与えた文字列がSQL文の文法要素として働くように仕向けるので、これはサーバー側から履歴を読んでもそれが管理者が行ったものなのか、攻撃者なのかはよくわからない。
手口が発覚するとすれば、WEBサーバーの情報を保持しているプロクシ及び、ウェブサーバーのおかしなアクセス記録だろうし、(フォームに打込んでる様子がおかしいといった感じ。何度も繰り返し打ち込みをしているとか・・)
この方法が怖いのは、管理者のパスワードも盗み出すことが出来るため、ヘタすれば管理者が席を離れた途端、バックドアを仕掛けサーバーを再起動させることが出来てしまう。(サーバーのログイン状況は攻撃者の手中にあるため、ログファイルを偽装工作されてしまう)こうなると攻撃の記録は消すことが出来る。
===============================
で、上記のサイトはこの攻撃に晒された形跡が見つかったというわけ。恐らく犯人は特定できないでしょうね。ミネルヴァ・ホールディングスでは、事態を公表するとともに、事件の経緯や流出した可能性のあるデータの内容、事件に関するFAQを開設したほか、フリーダイヤルによる問い合わせ窓口を設置。ユーザーに対して説明を行うとともに、登録パスワードの変更を求めているそうです。
・・ココで言いたいのは、もしかしかしたらこのNaturum Island Resort というSL内ゲームで、このサイトを知った場合・・・考えたくありませんが「SLアカウントと同じパスワードを使っている」ことは考えられないでしょうか?しかし残念ながら関係サイト全てに注意を喚起していない点は気になります。無関係ではないのに・・・・・。
本来はこういう心配事は、サービス提供側が公の場でキチンと説明すべきですが、ココ→http://www.minerva-hd.com/faq_c_080806/index.htmlぐらいしかアナウンスされていません・・。
先方の対応がどうでアレ、結局”自己責任”でいわれれば立つ瀬がありませんよね?
ショッピングサイト構築というよくある民間のサービスの場合、私見ですが”信用できるのと実績とは無関係。問題は攻撃者へのサイトの耐性だ”とはよく言われるところです。
攻撃者の手口をよく知る管理者を配備する「国内WEBサービス企業」が一体どのくらいなのかは、私はこの問いに「・・・・・・・」という無言で応えるでしょう。その意味はユーザであるあなたが想像するしかありません。
最近よく「インターネットに匿名はない」とか報道されてますよね?
この報道、攻撃者は以下のように思っているでしょう。
その影で笑いながら「確かにそうだよね。それがそうじゃないって誰もがわかったら、俺等の商売あがったりだよ^^」と。
私もよくこの事は知っていますが、httpsから始るSSL通信は既にサーバー権限を奪取されていれば、なんのお役にも立ちません・・。リンデンはL$購入の際、サイトから購入する場合何故か2度情報入力を求めるというのは、(最初にログインするが、L$を買うとき、もう一度ログインし直すようになっている)とりもなおさずこの”攻撃者手口”をよく知っているからです。
以上ある事件からの話題でした^^
