@mazzo ITMedia Mobileなので、松尾さんに投げても困るのかも知れませんが…。

これ、フィッシング対策の啓発記事としては最悪のレベルでは…。From偽装云々というより、メールは様々に偽装が可能な媒体って根本が欠けてる。
認証情報の入力は(DNSがまともだとして)、確実なブックマークや、信頼できる検索結果から開いたページのみで行う、という一番確実で手間の少ない方法の案内も無い。

記事書いた渡辺まりかさんという方、他の記事見ても、エンジニアリング寄りの知見が豊富とは思えない。セキュリティ絡む記事を、他の記事と同じ感覚で担当させちゃだめだろうに。
医療や防犯と同じで、メディアがセキュリティの記事出すときには、啓発だろうがなんだろうが、負の効果も踏まえた責任が伴わないと。

・詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策(1/2 ページ) - ITmedia Mobile
itmedia.co.jp/mobile/articles/

@neran @mazzo 初歩の初歩として悪くはないと思いますけどね。最悪というレベルでもないかな、と。もちろん網羅的伝えられると良いですが、読み手が耐え切れない(離脱する)ことを考えると悪くない分量かなと。もちろん知らなくて書けなかったのなら話は別ですが。

あ、すいません、こういう話を毎日 客に伝えるのに苦労してるセキュリティ屋です。いちおう。

フォロー

@itsumonotakumi @mazzo 私はセキュリティは門外漢もいいところですが、意識のセキュリティホールを増やすようなメディアは最悪だと判断する程度にはセキュリティに関心があります。

いつもの匠さんのように、セキュリティ屋として顧客に伝えていると仰る方が、"初歩の初歩のとして悪くない"と判断してしまうのも、また恐ろしいです。

メールやSMSが詐欺に利用されるのは、プロトコルや実装の問題だけでなく、それが危険であるという認識が共有されていない故に、意識の上にセキュリティホールが空いてしまっているからでしょう。

「パスワードは定期的に変えれば安心」「二要素認証なら第上」「SSLの錠前アイコンで安心」などなど、実態無視したおためごかし紛いの解決策が、意識に危険な穴を増やします。
それを増やすような記事は、最悪じゃないでしょうか。

@neran @mazzo 良くはないですが、「最も悪い」と断じるのは、お言葉がちょっと行き過ぎているのかなと思った次第です。もっと工夫すべきと表現すべき内容だと思います。メディアがお嫌いなのかもしれませんが。

また、Neranさんのお言葉を伺うと、全部言わないとダメ、少しでも安心させてはダメで、ホラーストーリーを展開しまくって欲しいというように見えます。そうなると読者(あるいは伝えたい相手)に伝わらないことがよく有りますが、それは仕方ないということですかねぇ。

全部書けば正しく伝わるというものではないので、適切な文量と飴と鞭が必要ですよ、という感じで思っております。恐らくご期待に沿えない考えだとは思いますが。

@itsumonotakumi @mazzo 指摘している問題点を意図的にスルーされてますか??

分量や網羅性は全く問題にしておらず、一番重要なメールやSMSが信頼ならないという点を外しているのが問題だと繰り返し書いてますが。
どこをどう読むと、分量だとか網羅性の話になるんでしょうか? 該当箇所欲しいです。

もっと短い分量で、「全部疑え! ~メールは如何に信頼できないか~」とかいう記事だって書けるでしょう。

@neran @mazzo 「一番重要なメールやSMSが信頼ならないという点を外している」ということを書かないといけないということが一番気に障ったポイントなんですね。意味が分かりました。

別に私は「信頼できない」とまでは思っていませんし、それは極論すぎて、正しいと思っていません。読み手を萎縮させてしまうだけだと感じているので。そのご意向に沿えません。

@itsumonotakumi @mazzo 噛み砕いたり分量を減らしたり、安全な例えを使ったりして読み手を萎縮させないことと、間違った前提に立った説明をしたり記事を流布することは、全く別の話ではないでしょうか。

日頃顧客に接していらっしゃるからこそなのだとは思いますが、「メールって騙そうと思えば幾らでもだませるんです。だから代替としてこれ使ったり、信頼できるメールの基準や運用考えましょうね」と話すのと、「こんなメールは怪しいので注意しましょう」って話すのは、どちらも平易に萎縮させないように説く事は可能ですが、中身は全く違いませんか?

それと、何を基準にメールが信頼できないとまでは思わず、それは極論で間違っていると判断しているのか、信頼性と実用性は別のものですし、理解できません。セキュリティの専門家から、費用がかかっても是非教わりたいです。

ログインして会話に参加
グルドン

Mastodon は、オープンなウェブプロトコルを採用した、自由でオープンソースなソーシャルネットワークです。電子メールのような分散型の仕組みを採っています。