【社会】楽天ダウンロードでドラクエを勝手に購入される被害続出…楽天「ID、パスワード流出の事実はない」

291 ：名無しさん＠０新周年＠＼(^o^)／：2014/06/06(金) 11:54:53.43 ID:/XpUn40x0.net

>>195
＞つまり原理的に漏れ用がないってわけ

どうなんでしょうね

それ、ユーザー端末が正常(清浄)である事を前提にした話だと思うんですよね。
ユーザー端末が汚染されている場合を考慮してないために破綻してる例として
タイムベースのワンタイムパスワードトークンを導入してるネットバンキング
サービスがありますよね

�@比較的有名な企業(※銀行ではない)のサイトが不正アクセス(侵入)されて
改竄される。(インジェクション攻撃)
�Aユーザーは信頼済みサイトとしてアクセス。ブラウザは不正なスクリプトや
Flashを疑う事なく読み込み実行する。
�B端末にトロイの木馬が組み込まれる。(この時点でユーザー端末は汚染され、乗っ取られてると判断して良いです)
�CIE、Chrome、Firefox等のキー入力や通信が盗聴、監視、改竄される

こうした手口に対してクレカの3Dセキュアも無力です。何らかのECサイト
(楽天とは限らない)で買い物をし、クレカ会社のサイトに飛ばされて
セキュリティコードを入力して送信するまでの一連の手続きは端末のキーボードと
マウスを使って行われてるわけですから、盗聴されてます

少なくとも個人宅のPCは汚染されているもの、信頼できない危険なもの
という前提で考える必要があると思います。訳の分からない無料アプリ
(スパイウェア)とか躊躇なく入れてる個人のスマホについても同様です