「世界一受けたい授業」でやらかしたフィッシングの見分け方


2020年1月18日に日本テレビ系列で放送された「世界一受けたい授業」という番組でフィッシングの見分け方ネタが取り上げられたようですが、内容が不正確なので修正記事を記しておきます。尚、ここに記載の内容については一般的な情報セキュリティエンジニアの皆様と視点が違う場合があります事を御了承ください。

まず、こんなツイートが流れてきました。

これで、不正確な内容が放送された事を知ったのですが、調べると同様の投稿が数件見られたので、一般の人達の受け止め方は「コレでフィッシングを見分けられる」と考えたのでしょう。でも、これはかなり不正確な内容です。誤りではありませんが。

先ず、図の下半分(記載のURLとカーソルをかざしたときに出てくるURLが不一致であればフィッシング)は正しいものになっています。私も第一段階としてはこの方法を使います。ちなみに、情報処理安全確保支援士(情報セキュリティのスペシャリストですね!)ですら、この方法を知らない方がいらっしゃるようなので放送で取り上げた事は賞賛に値します。

しかしながら、図の上半分については必ずしも正確ではありません。記載のURLとカーソルをかざしたときに出てくるURLが一致した場合「本物のサイト」である事は正しいです。但し、本物のサイトが正規のサイトである事の保証はしていない事を知っておく必要があります。本物のフィッシングサイトに飛ぶ事も多々あるわけです。なので、そこに記載のURLが安全安心なものであると信用できるのかと言えば、答えは「No」です。

そういう事もあって、情報セキュリティに携わる人達は「メールに記載のリンクはクリックするな」と言うわけです。そもそも、メール自体が本物であるかどうかを見分ける事が難しいですから。実際、情報処理安全確保支援士(情報セキュリティのスペシャリストですね!)ですら見分けられない方もいらっしゃるようなので、素人にはもっと難しい話ですよね?

と言う事で、情報セキュリティのスペシャリストがこんなツイートを過去にしているのを発見したので紹介しておきます。

この方の書いている事、一部を除いて正しいです。

じゃあ、除かれた一部は何なのかと言いますと「検索で正規サイトに行くだけです」になります。正規のサイトをブックマークしておいて、そのブックマークから飛べというのは正しい方法です。が、検索して正規のサイトに飛ぶのは「実は」簡単ではないのです。何故かと言うと、検索結果に出てくるサイトが「正規のサイトである事を誰も保証していない」からなのです。結局はメールを見分ける事が難しいのと同様、検索結果で正規サイトを見分けるのは難しいのです。

特に、最近はGoogleの表示も変わり、ドメインの記載が一層小さく見難くなりましたので、ドメイン名が正確かどうかを調べるのも難易度が上がりました。ましてや、ドメイン名が正確かどうかなんて一般の人達にはハードルが高い(それが出来るならメールに記載のドメイン名を見て判断できるわけで…)ので、検索結果から正規サイトを見分けるのは難しいのです。

実際、たまにですが「検索結果に出てくるサイトは偽サイトです」って告知が正規のサイトで行われる事があります。そういう事実に基づけば「検索で正規サイトに行く事」は難しい事が判るかと思います。

なので私は、こう言い続けています。

「メールに記載のリンクはいくらでもクリックしてください。但し、パスワード管理ツールを導入してフィッシングサイトの場合はアカウント情報が漏洩しないように対策してください。」と。

情報セキュリティの啓蒙は、啓蒙相手と同じレベルに視線を落として考える事が大変重要になります。そうして考えた結果、一般の人達が「メールに記載のリンクをクリックしない」という行動だけを啓蒙する事に意味はないだろうと判断しました。だって、同じ事を何年も言われ続けているのにフィッシング被害は増加傾向にあるわけですからね。ならば、「メールに記載のリンクをクリックする」事を前提にして、その上で被害に遭わないようにするにはどうしたら良いのかを考えるのが情報処理安全確保支援士(情報セキュリティのスペシャリストですね!)の役目だと考えたわけです。その結果、先の結論が出ました。

是非ともパスワード管理ツールを導入してください。フィッシング被害に比べたら安いものですから。そして、安全なネットライフをお楽しみください。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です