@itsumonotakumi @mazzo 私はセキュリティは門外漢もいいところですが、意識のセキュリティホールを増やすようなメディアは最悪だと判断する程度にはセキュリティに関心があります。
いつもの匠さんのように、セキュリティ屋として顧客に伝えていると仰る方が、"初歩の初歩のとして悪くない"と判断してしまうのも、また恐ろしいです。
メールやSMSが詐欺に利用されるのは、プロトコルや実装の問題だけでなく、それが危険であるという認識が共有されていない故に、意識の上にセキュリティホールが空いてしまっているからでしょう。
「パスワードは定期的に変えれば安心」「二要素認証なら第上」「SSLの錠前アイコンで安心」などなど、実態無視したおためごかし紛いの解決策が、意識に危険な穴を増やします。
それを増やすような記事は、最悪じゃないでしょうか。
@neran @mazzo 良くはないですが、「最も悪い」と断じるのは、お言葉がちょっと行き過ぎているのかなと思った次第です。もっと工夫すべきと表現すべき内容だと思います。メディアがお嫌いなのかもしれませんが。
また、Neranさんのお言葉を伺うと、全部言わないとダメ、少しでも安心させてはダメで、ホラーストーリーを展開しまくって欲しいというように見えます。そうなると読者(あるいは伝えたい相手)に伝わらないことがよく有りますが、それは仕方ないということですかねぇ。
全部書けば正しく伝わるというものではないので、適切な文量と飴と鞭が必要ですよ、という感じで思っております。恐らくご期待に沿えない考えだとは思いますが。
@itsumonotakumi @mazzo 指摘している問題点を意図的にスルーされてますか??
分量や網羅性は全く問題にしておらず、一番重要なメールやSMSが信頼ならないという点を外しているのが問題だと繰り返し書いてますが。
どこをどう読むと、分量だとか網羅性の話になるんでしょうか? 該当箇所欲しいです。
もっと短い分量で、「全部疑え! ~メールは如何に信頼できないか~」とかいう記事だって書けるでしょう。
@itsumonotakumi @mazzo 噛み砕いたり分量を減らしたり、安全な例えを使ったりして読み手を萎縮させないことと、間違った前提に立った説明をしたり記事を流布することは、全く別の話ではないでしょうか。
日頃顧客に接していらっしゃるからこそなのだとは思いますが、「メールって騙そうと思えば幾らでもだませるんです。だから代替としてこれ使ったり、信頼できるメールの基準や運用考えましょうね」と話すのと、「こんなメールは怪しいので注意しましょう」って話すのは、どちらも平易に萎縮させないように説く事は可能ですが、中身は全く違いませんか?
それと、何を基準にメールが信頼できないとまでは思わず、それは極論で間違っていると判断しているのか、信頼性と実用性は別のものですし、理解できません。セキュリティの専門家から、費用がかかっても是非教わりたいです。
@itsumonotakumi @mazzo 「最悪」としたのは、信頼できないかも知れないメールの特徴を紹介し、そもそもメールが詐称について信頼できない仕組みだと伝えていないからです。
インフラとしてメールの使用が避けがたいのであれば、本来信頼できないのだから「こういうケースや特徴は信頼性を一定程度担保する」「通知内容への信頼できる経路はこれら」といった提示をすべきです。
医療情報や防犯情報に対し、同じような切り口で、本来信頼できないものを、"こういう◯◯は怪しい"などと流せば、はるかに大きな批判を受けるでしょう。たとえば「こんな代替医療は怪しい!」とか。それは結果として、怪しくないものを峻別しています。
それと、場当たり的に"送信元メールアドレスを偽装できる~~"と追記したり、ヘッダー見れば大丈夫とかいう大嘘を載せているのも最悪です。既存の読者は無視し、新たな読者は混乱する、しかも更に誤った信頼を作り出す。
ITmediaのようなマス向けの媒体でこういう記事が流れれば、沢山の「俺は怪しいメール見極められるぜ」おじさんを量産してしまうでしょう。
やはり最悪だと思います。