@mazzo ITMedia Mobileなので、松尾さんに投げても困るのかも知れませんが…。
これ、フィッシング対策の啓発記事としては最悪のレベルでは…。From偽装云々というより、メールは様々に偽装が可能な媒体って根本が欠けてる。
認証情報の入力は(DNSがまともだとして)、確実なブックマークや、信頼できる検索結果から開いたページのみで行う、という一番確実で手間の少ない方法の案内も無い。
記事書いた渡辺まりかさんという方、他の記事見ても、エンジニアリング寄りの知見が豊富とは思えない。セキュリティ絡む記事を、他の記事と同じ感覚で担当させちゃだめだろうに。
医療や防犯と同じで、メディアがセキュリティの記事出すときには、啓発だろうがなんだろうが、負の効果も踏まえた責任が伴わないと。
・詳しい人でもだまされる? スマホを狙った「フィッシング詐欺」の手口と対策(1/2 ページ) - ITmedia Mobile
https://www.itmedia.co.jp/mobile/articles/2206/26/news014.html
@itsumonotakumi @mazzo 私はセキュリティは門外漢もいいところですが、意識のセキュリティホールを増やすようなメディアは最悪だと判断する程度にはセキュリティに関心があります。
いつもの匠さんのように、セキュリティ屋として顧客に伝えていると仰る方が、"初歩の初歩のとして悪くない"と判断してしまうのも、また恐ろしいです。
メールやSMSが詐欺に利用されるのは、プロトコルや実装の問題だけでなく、それが危険であるという認識が共有されていない故に、意識の上にセキュリティホールが空いてしまっているからでしょう。
「パスワードは定期的に変えれば安心」「二要素認証なら第上」「SSLの錠前アイコンで安心」などなど、実態無視したおためごかし紛いの解決策が、意識に危険な穴を増やします。
それを増やすような記事は、最悪じゃないでしょうか。
@itsumonotakumi @mazzo 指摘している問題点を意図的にスルーされてますか??
分量や網羅性は全く問題にしておらず、一番重要なメールやSMSが信頼ならないという点を外しているのが問題だと繰り返し書いてますが。
どこをどう読むと、分量だとか網羅性の話になるんでしょうか? 該当箇所欲しいです。
もっと短い分量で、「全部疑え! ~メールは如何に信頼できないか~」とかいう記事だって書けるでしょう。
@itsumonotakumi @mazzo 噛み砕いたり分量を減らしたり、安全な例えを使ったりして読み手を萎縮させないことと、間違った前提に立った説明をしたり記事を流布することは、全く別の話ではないでしょうか。
日頃顧客に接していらっしゃるからこそなのだとは思いますが、「メールって騙そうと思えば幾らでもだませるんです。だから代替としてこれ使ったり、信頼できるメールの基準や運用考えましょうね」と話すのと、「こんなメールは怪しいので注意しましょう」って話すのは、どちらも平易に萎縮させないように説く事は可能ですが、中身は全く違いませんか?
それと、何を基準にメールが信頼できないとまでは思わず、それは極論で間違っていると判断しているのか、信頼性と実用性は別のものですし、理解できません。セキュリティの専門家から、費用がかかっても是非教わりたいです。
@neran @mazzo 「一番重要なメールやSMSが信頼ならないという点を外している」ということを書かないといけないということが一番気に障ったポイントなんですね。意味が分かりました。
別に私は「信頼できない」とまでは思っていませんし、それは極論すぎて、正しいと思っていません。読み手を萎縮させてしまうだけだと感じているので。そのご意向に沿えません。