@mazzo ITMedia Mobileなので、松尾さんに投げても困るのかも知れませんが…。
これ、フィッシング対策の啓発記事としては最悪のレベルでは…。From偽装云々というより、メールは様々に偽装が可能な媒体って根本が欠けてる。
認証情報の入力は(DNSがまともだとして)、確実なブックマークや、信頼できる検索結果から開いたページのみで行う、という一番確実で手間の少ない方法の案内も無い。
記事書いた渡辺まりかさんという方、他の記事見ても、エンジニアリング寄りの知見が豊富とは思えない。セキュリティ絡む記事を、他の記事と同じ感覚で担当させちゃだめだろうに。
医療や防犯と同じで、メディアがセキュリティの記事出すときには、啓発だろうがなんだろうが、負の効果も踏まえた責任が伴わないと。
・詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策(1/2 ページ) - ITmedia Mobile
https://www.itmedia.co.jp/mobile/articles/2206/26/news014.html
@itsumonotakumi @mazzo 私はセキュリティは門外漢もいいところですが、意識のセキュリティホールを増やすようなメディアは最悪だと判断する程度にはセキュリティに関心があります。
いつもの匠さんのように、セキュリティ屋として顧客に伝えていると仰る方が、"初歩の初歩のとして悪くない"と判断してしまうのも、また恐ろしいです。
メールやSMSが詐欺に利用されるのは、プロトコルや実装の問題だけでなく、それが危険であるという認識が共有されていない故に、意識の上にセキュリティホールが空いてしまっているからでしょう。
「パスワードは定期的に変えれば安心」「二要素認証なら第上」「SSLの錠前アイコンで安心」などなど、実態無視したおためごかし紛いの解決策が、意識に危険な穴を増やします。
それを増やすような記事は、最悪じゃないでしょうか。
@neran @mazzo 良くはないですが、「最も悪い」と断じるのは、お言葉がちょっと行き過ぎているのかなと思った次第です。もっと工夫すべきと表現すべき内容だと思います。メディアがお嫌いなのかもしれませんが。
また、Neranさんのお言葉を伺うと、全部言わないとダメ、少しでも安心させてはダメで、ホラーストーリーを展開しまくって欲しいというように見えます。そうなると読者(あるいは伝えたい相手)に伝わらないことがよく有りますが、それは仕方ないということですかねぇ。
全部書けば正しく伝わるというものではないので、適切な文量と飴と鞭が必要ですよ、という感じで思っております。恐らくご期待に沿えない考えだとは思いますが。
@itsumonotakumi @mazzo 噛み砕いたり分量を減らしたり、安全な例えを使ったりして読み手を萎縮させないことと、間違った前提に立った説明をしたり記事を流布することは、全く別の話ではないでしょうか。
日頃顧客に接していらっしゃるからこそなのだとは思いますが、「メールって騙そうと思えば幾らでもだませるんです。だから代替としてこれ使ったり、信頼できるメールの基準や運用考えましょうね」と話すのと、「こんなメールは怪しいので注意しましょう」って話すのは、どちらも平易に萎縮させないように説く事は可能ですが、中身は全く違いませんか?
それと、何を基準にメールが信頼できないとまでは思わず、それは極論で間違っていると判断しているのか、信頼性と実用性は別のものですし、理解できません。セキュリティの専門家から、費用がかかっても是非教わりたいです。