@mazzo ITMedia Mobileなので、松尾さんに投げても困るのかも知れませんが…。

これ、フィッシング対策の啓発記事としては最悪のレベルでは…。From偽装云々というより、メールは様々に偽装が可能な媒体って根本が欠けてる。
認証情報の入力は(DNSがまともだとして)、確実なブックマークや、信頼できる検索結果から開いたページのみで行う、という一番確実で手間の少ない方法の案内も無い。

記事書いた渡辺まりかさんという方、他の記事見ても、エンジニアリング寄りの知見が豊富とは思えない。セキュリティ絡む記事を、他の記事と同じ感覚で担当させちゃだめだろうに。
医療や防犯と同じで、メディアがセキュリティの記事出すときには、啓発だろうがなんだろうが、負の効果も踏まえた責任が伴わないと。

・詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策(1/2 ページ) - ITmedia Mobile
itmedia.co.jp/mobile/articles/

@neran @mazzo 初歩の初歩として悪くはないと思いますけどね。最悪というレベルでもないかな、と。もちろん網羅的伝えられると良いですが、読み手が耐え切れない(離脱する)ことを考えると悪くない分量かなと。もちろん知らなくて書けなかったのなら話は別ですが。

あ、すいません、こういう話を毎日 客に伝えるのに苦労してるセキュリティ屋です。いちおう。

フォロー

@itsumonotakumi @mazzo 「最悪」としたのは、信頼できないかも知れないメールの特徴を紹介し、そもそもメールが詐称について信頼できない仕組みだと伝えていないからです。

インフラとしてメールの使用が避けがたいのであれば、本来信頼できないのだから「こういうケースや特徴は信頼性を一定程度担保する」「通知内容への信頼できる経路はこれら」といった提示をすべきです。

医療情報や防犯情報に対し、同じような切り口で、本来信頼できないものを、"こういう◯◯は怪しい"などと流せば、はるかに大きな批判を受けるでしょう。たとえば「こんな代替医療は怪しい!」とか。それは結果として、怪しくないものを峻別しています。

それと、場当たり的に"送信元メールアドレスを偽装できる~~"と追記したり、ヘッダー見れば大丈夫とかいう大嘘を載せているのも最悪です。既存の読者は無視し、新たな読者は混乱する、しかも更に誤った信頼を作り出す。

ITmediaのようなマス向けの媒体でこういう記事が流れれば、沢山の「俺は怪しいメール見極められるぜ」おじさんを量産してしまうでしょう。

やはり最悪だと思います。

ログインして会話に参加
グルドン

Mastodon は、オープンなウェブプロトコルを採用した、自由でオープンソースなソーシャルネットワークです。電子メールのような分散型の仕組みを採っています。