正しく怖がるフィッシング詐欺 | Ohmsha

目次
- 第1章　フィッシング詐欺とは
- 第2章　A君の例
- 第3章　インターネットの基礎知識
- 第4章　フィッシングメール
- 第5章　フィッシングSMS
- 第6章　フィッシングサイト
- 第7章　フィッシングサイトの「見分け方」？
- 第8章　自分の身の守り方
- 第9章　セキュリティとサイバー犯罪
- 付録1　参考情報
- 付録2　終わりに　フィッシング行為を見つけたら　～通報のしかた

TL;DR

この本は、コンシューマー（一般の個人利用者）を対象としたフィッシング詐欺対策を啓もうする本です。非常に丁寧で最新の情勢を反映していると思いました。。フィッシング詐欺の概要を読むには良い本だと思います。

ただ...

内容を考えると 200ページ以上あるのが...。（ちょっと丁寧すぎ？）
2,420円(税込)は高い...。
概要は分かったが、対策についてが物足りない...

フィッシング詐欺が今後より課題となるのは、コンシューマーからエンタープライズに移っていくだろう。その点でも、対策については具体性が必要になるのかなと、思いました。

本書で紹介されているフィッシング詐欺対策
- 自分が利用しているウェブ（インターネット）サービスは、予めブラウザのブックマークに登録して日常的に使おう。
- 銀行、クレカのサービスは、予め公式アプリをインストールして日常的に使おう。
- 2要素認証、2段階認証を設定しておこう。
- 複数のメールアドレスを使い分けよう。
  - 登録するサービス毎に例えば、「重要なサービスのメールアドレス」、「ゲーム娯楽用のメールアドレス」などと分けて使用する、とか。
- 詐欺事例ニュースをチェックする。
  - フィッシング詐欺や振り込め詐欺、サイバー犯罪の注意喚起をしている Twitter、Facebook アカウントをフォローしよう。
- 詐欺は日頃の隙を狙うもの、「疑う」という姿勢が大事かもしれませんよ。

発見とテイクダウンを目的とする人はこちらをご覧下さい。 qiita.com

フィッシング詐欺と私〜正直、他人事だよね〜

フィッシング詐欺は、割りと身近にある迷惑行為というか犯罪で、主には迷惑メールという形で顕在している。興味本位で迷惑メールフォルダを覗いてみると、自動的に振り分けられたSPAMの中に広告メールとともにメールプロバイダーによって「詐欺メール」と判定されたメールが入っている。

迷惑メール判定されたフィッシングメール

私は Gmail を使用しているので、自分に届くメールは総べてGoogleによって検閲されている。Googleのメールスキャンによって詐欺メール(fraud mail)はより分けられているため、ほぼ100％と言って良いくらい詐欺メールをそのまま受け取る機会が無くなっている。（データを持っているわけでは無いので不確かだけれど、2007年から Gmail for Your Domain で使っているが、Adobe IDの漏えい(2013年秋)の頃からも詐欺メールが受信フォルダに入っていた記憶がない...、ただ単に忘却しているのかもしれないが...）

要するに、「迷惑メールフォルダをわざわざ覗けば詐欺メールがあるが、詐欺メールと知らずにリンクをクリックする」ような事は先ず無いのであった。多分、オレオレ詐欺電話と同じような感覚なのだと思う。即ち、「私に詐欺電話が掛かってきても受電しないから詐欺には引っかからないワ」という他人事なお気持ち。

注釈というより、ツッコミとかただのメモ書き

この手の本を読む時、私は付箋紙とペンを片手に読んでしまう。気になったことや自分の感想を書き込んでしまうのだ。小説ではやらないけれど、ビジネス本や技術書や現代社会の解説本などには、読んだ時の自分のポジションや感想を書き入れておくことで、後に読み返した時の自分の変遷も辿れる事に面白みを見出している。

p.9 [1章フィッシング詐欺とは]
- （本物そっくりのメールによって騙されるという記述に関して） そっくりの偽物である必要も無くて受信者が何らかの応答をしなければならないと思ってしまう仕掛けがある。
  - 類似例: ワンクリック詐欺(メール) / ワン切り詐欺(電話) / 架空請求詐欺(ハガキ)
- しかし、フィッシング詐欺が ↑の例と異なるのは、その場で金品をだまし取るのではなく、詐取するのは情報(認証、クレジットカード番号)で、被害は後から発生することになる。
p.11 [1.1 偽物のメールと偽物のWebサイト]
- （EメールとSMSに限定した書きっぷりを指して） LINE, Slack, Discord, Facebook, Twitter 等々犯罪者からのメッセージの入り口は、メールやSMS以外にもいくらでもある。
- （事業者や管理者を指して）各メッセージサービスによって、対策や攻撃の手口が異なる為、対策をする人にとって手口を知ることは重要。
- いち利用者としては、対策はシンプルである。自分が利用しているサービスが何と何と何であるかを把握しておくことである。
p.15 [1.2 増え続けるフィッシング詐欺]
- （フィッシング対策協議会のデータを引用している事を指して） フィッシング詐欺の本質は、本物と偽物の見分けが付かないことである。しかし、フィッシング対策協議会は団体としての権威性が不明なのである。
p.17
（アメリカFBIのサイバー犯罪被害数統計の犯罪分類の紹介を指して） Vishing / Smishing / Pharming 等をフィッシング詐欺に分類ている事について、定義があるならその文書をポインターで示して欲しい。
p.19 [1.3 フィッシング詐欺の被害金額]
- （フィッシング被害状況を追跡できるの？という疑問を込めて） 不正送金とフィッシングは異なるので、例示としては微妙だが説得力あるデータとしては妥当かもしれない。
  - 不正送金: 口座ID不正利用 / 振り込め詐欺 / ロンダリング / Banking Trojan(ウイルス)
p.29 [2章 Aくんの例-引っかかるとどうなる？]
- （大雑把に分かりやすく紹介した事例を指して） フィッシング詐欺によって、認証情報を取られた後に何をされるかの解説としては分かりやすいのだが、どの程度の時間軸（詐取されて数日で被害が発生するのか？それとも数時間以内にお金を使われるのか？とか）がないと恐怖感が伝わらないかもしれない。
p.36 [3章インターネットの基礎知識 3.2ログインとID、パスワード]
- （「認証」と「認可」の説明に関してメモ書き）
  - Authentication: 恐らく、多分、「本人」であろう...と確認して、そう認めることを『認証』と呼ぶ。
  - Authorization: 認証されたユーザー、アカウントごとにアクセス制御することを『認可』と呼ぶ。
p.39 [3.3 ドメイン、URL、IPアドレス]
- www をサブドメインと説明しておいて、「mail というホスト（またはサブドメイン）」と説明してしまうのは表記の揺らぎというか、未定義タームの使用なのでは？
- （FQDN を記載する時に "." を "[.]" と囲むことで自動リンクされることを防ぐことを指して） ここに関してを丁寧に説明すべきで www.example.com と書いてしまうと、表示システムによっては自動的にハイパーリンクとして出力してしまうので不用意にクリックしてしまわないために www[.]example[.]com と記載してリンク文字にしないようにしている。
- （スキームについて、「Webサイトの場合は http と https しか使いませんから」との記載を指して） 🤔 wss:// とかあるしなぁ...、言い切ってしまうのはどうもなぁ...。ここは記載を簡略にして分かり易く読み進めることを優先しているとは分かるのだが、引っかかるなぁ。
p.47 [3.4 電子メールのしくみ]
- （メール関連プロトコルとして SMTP/POP3/IMAP を示しているのに図解がないことを指して） それぞれのプロトコルが何処で使われているかの説明が必要なのではないかと思った。 （「メールは送信時に経由したサーバ等のログを残したまま受信者に届く」との記載を指して） あくまで、SMTPで中継しているログが残っているだけである。今時分は、オープンな中継をするMTAは既に駆逐されているので、途中経路というサーバーは存在しないのではないか？
  メールプロトコルがそれぞれ何処で使われているか図解いれるとよいと思いました。
  Eメールは、組織やベンダーの違いを容易に跨いでメッセージのやり取りが出来るしくみである。だからこそ便利で、それが故に悪意のあるものに利用されている。
- （「マルウェアを添付したメールをばら撒いてPCを感染させる」との記載を指して） トロイ系についても「感染」と呼ぶのは不思議な感じがする。
p.55 [3.5 SMS（ショートメール）のしくみ]
- （「マルウェアに感染した一般の方の電話番号なのです」との記載を指して） スマホ（iPhone、Android）のマルウェアも「感染」するのだろうか？スマホの不正アプリはほとんどがトロイ系で、利用者が自らアプリをインストールする事で入り込むのだけど...。
p.56 [3.6 IDとパスワード]
- （パスワードの使い回しは危険だと指摘していることについて） イラストがちりばめられているのに実際のユーザーの共感を呼ぶような構図にした方がイイと思うのだけど...。
- この本は、一般向けの啓蒙を目的とした本であると思う。啓蒙によって被害を防ぎたいのなら、ブラウザのパスワードマネージャーや OSのキーチェーン機能を紹介するに留めるよりも、パスワード管理ツールの選び方や使い方を解説した方が良いように思うのだ。しかし、セキュリティの専門家が公にパスワード管理ツールを勧めている事例を聞かないのだよなぁ、どういう理由があるのだろうか？
  パスワードはサービス毎に変えると、パスワードいっぱいになっちゃうよ😵
p.59 [3.6 盗まれたパスワードの確認 Have I Been Pwned]
- 著名なセキュリティ研究者とは...？ コンピュータ・セキュリティのニュースでは「研究者」と書かれるケースが多い。セキュリティ・エンジニアの肩書きとして「リサーチャー」は、「アナリスト」ではないし「エンジニア」でもない事も多い。セキュリティ関連ニュースをスクラップする人もリサーチャーと呼ばれたりもする...。（研究者というと大学などで研究しているひとをイメージしてしまう）
- したがって、Have I Been Pwned に自分のIDを入力するのは中々ワイルドだなと思って掛からないといけないのではないか？
p.63 [3.6 2要素認証]
- （2要素認証は不正ログインに対しては強力な対抗策であるという記述を指して） SMSやOTPアプリによるワンタイムパスワードも突破されるし、実際にワンタイムパスワード破りを称する闇サービスが存在している。https://www.nikkei.com/article/DGXZQOUC2660D0W1A021C2000000/:title8
- OTPも突破するフィッシングのやり口もある
p.64 [4章フィッシングメール]
- 事例紹介をするのはよいことではあるのだが「何故、私の所にはフィッシングメールが来ないのか？」を伝える方が被害を少なくするのではないか。Gmailを使おうとか、SPAMフィルター/AV/Sandbox が充実したプロバイダーサービスを使おうとか、ISPのメールアドレスは捨ててしまえとか、一般向けに言うべきことがありそうである。
p.71 [4.1 こんなメールがやってくる]
- 広告メールや正規のサービス業者からのメールでもマーケティング追跡用として、表記と実アドレスが異なるリンクが使われることが多々ある。一般ユーザーからすれば、HTMLメールはウソつきなのだ。フィッシングメールに限った説明ではない。バッドノウハウは覚えたくないものだ、人間の記憶域のムダだよ。
p.81 [4.2 心理的なだましのテクニック]
- 詐欺師の話を聞いたらその時点でアウトであるように、フィッシングメールを読んだら騙される人は騙されてしまう。注意喚起が通じる人に説明するよりも、偽メールを読まないで済む方法を教える方が役に立つと思うのだ...。
p.82 [5章フィッシングSMS]
- 怪しいドメイン名はMicrosoftがお得意で、本物か偽物か分からないややこしい本物ドメインを使っている。
  - microsofto.com
    windows.net
    azure.net
    msecnd.net
    skype.net
    tenor.net
    skypeforbussiness.com
- 本物自らが怪しいドメイン名をサービス用に使っている。こんな状態ではドメインで「変だな？」と気付というのは酷である。
p.91 [5.2 本物っぽく見せるワザ]
- （本物からのメッセージスレッドに偽メッセージを割り込ませるテクニックの紹介を指して） クライアント（iPhone、Android）のSMSメッセンジャーアプリの表示方法によって錯乱・混乱させられることが問題であり、利用者では避けようがない状態である。SMSの仕様の問題なので、利用者側で知っておかねばならないバッドノウハウの1つである。
p.95 [5.4 SMSを送るマルウェア]
- 技術を紹介するのではなく、被害対策を啓蒙するための本であるようだ。だとすると、読者が本当に読んでくれるのか疑問ですよね。どうやって通信制限しているかなどを解説する方が良い気がするのですよ。（本書の後の方では、詳細を解説しているページがある）
p.102 [5.4 SMSを送るマルウェア]
- 野良アプリ、サイドローディング。公式ストア（Google Play）以外からアプリをインストールすること。
p.163 [7章フィッシングサイトの見分け方 7.3 メールの差出人では見分けられない]
- （SPF、DKIM、DMARCの解説の受けて） 送信者を騙るメール自体は無くなっていくのだが、詐欺メール自体が無くなるわけではない。しかしながら、送信元がそのまま見えるようになることで、送信元アドレスをレピュテーションによって判定出来るとは思う。一般ユーザーにとっては知らない人からのメール入らないという判定方法でも十分見切れるようになるのだろう。