「正しく怖がる フィッシング詐欺 オーム社」を読んでみた
正しく怖がるフィッシング詐欺 | Ohmsha
- 目次
TL;DR
この本は、コンシューマー(一般の個人利用者)を対象としたフィッシング詐欺対策を啓もうする本です。 非常に丁寧で最新の情勢を反映していると思いました。。フィッシング詐欺の概要を読むには良い本だと思います。
ただ...
- 内容を考えると 200ページ以上あるのが...。(ちょっと丁寧すぎ?)
- 2,420円(税込)は高い...。
- 概要は分かったが、対策についてが物足りない...
フィッシング詐欺が今後より課題となるのは、コンシューマーからエンタープライズに移っていくだろう。その点でも、対策については具体性が必要になるのかなと、思いました。
- 本書で紹介されているフィッシング詐欺対策
- 自分が利用しているウェブ(インターネット)サービスは、予めブラウザのブックマークに登録して日常的に使おう。
- 銀行、クレカのサービスは、予め公式アプリをインストールして日常的に使おう。
- 2要素認証、2段階認証を設定しておこう。
- 複数のメールアドレスを使い分けよう。
- 登録するサービス毎に例えば、「重要なサービスのメールアドレス」、「ゲーム娯楽用のメールアドレス」などと分けて使用する、とか。
- 詐欺事例ニュースをチェックする。
- 詐欺は日頃の隙を狙うもの、「疑う」という姿勢が大事かもしれませんよ。
発見とテイクダウンを目的とする人はこちらをご覧下さい。 qiita.com
フィッシング詐欺と私 〜正直、他人事だよね〜
フィッシング詐欺は、割りと身近にある迷惑行為というか犯罪で、主には迷惑メールという形で顕在している。興味本位で迷惑メールフォルダを覗いてみると、自動的に振り分けられたSPAMの中に広告メールとともにメールプロバイダーによって「詐欺メール」と判定されたメールが入っている。
私は Gmail を使用しているので、自分に届くメールは総べてGoogleによって検閲されている。Googleのメールスキャンによって詐欺メール(fraud mail)はより分けられているため、ほぼ100%と言って良いくらい詐欺メールをそのまま受け取る機会が無くなっている。 (データを持っているわけでは無いので不確かだけれど、2007年から Gmail for Your Domain で使っているが、Adobe IDの漏えい(2013年秋)の頃からも詐欺メールが受信フォルダに入っていた記憶がない...、ただ単に忘却しているのかもしれないが...)
要するに、「迷惑メールフォルダをわざわざ覗けば詐欺メールがあるが、詐欺メールと知らずにリンクをクリックする」ような事は先ず無いのであった。 多分、オレオレ詐欺電話と同じような感覚なのだと思う。即ち、「私に詐欺電話が掛かってきても受電しないから詐欺には引っかからないワ」という他人事なお気持ち。
注釈というより、ツッコミとかただのメモ書き
この手の本を読む時、私は付箋紙とペンを片手に読んでしまう。気になったことや自分の感想を書き込んでしまうのだ。小説ではやらないけれど、ビジネス本や技術書や現代社会の解説本などには、読んだ時の自分のポジションや感想を書き入れておくことで、後に読み返した時の自分の変遷も辿れる事に面白みを見出している。
- p.9 [1章 フィッシング詐欺とは]
- p.11 [1.1 偽物のメールと偽物のWebサイト]
- p.15 [1.2 増え続けるフィッシング詐欺]
- (フィッシング対策協議会のデータを引用している事を指して) フィッシング詐欺の本質は、本物と偽物の見分けが付かないことである。しかし、フィッシング対策協議会は団体としての権威性が不明なのである。
- p.17
(アメリカFBIのサイバー犯罪被害数統計の犯罪分類の紹介を指して) Vishing / Smishing / Pharming 等をフィッシング詐欺に分類ている事について、定義があるならその文書をポインターで示して欲しい。
- p.19 [1.3 フィッシング詐欺の被害金額]
- p.29 [2章 Aくんの例-引っかかるとどうなる?]
- (大雑把に分かりやすく紹介した事例を指して) フィッシング詐欺によって、認証情報を取られた後に何をされるかの解説としては分かりやすいのだが、どの程度の時間軸(詐取されて数日で被害が発生するのか?それとも数時間以内にお金を使われるのか?とか)がないと恐怖感が伝わらないかもしれない。
- p.36 [3章 インターネットの基礎知識 3.2ログインとID、パスワード]
- (「認証」と「認可」の説明に関してメモ書き)
- Authentication: 恐らく、多分、「本人」であろう...と確認して、そう認めることを『認証』と呼ぶ。
- Authorization: 認証されたユーザー、アカウントごとにアクセス制御することを『認可』と呼ぶ。
- (「認証」と「認可」の説明に関してメモ書き)
- p.39 [3.3 ドメイン、URL、IPアドレス]
- www をサブドメインと説明しておいて、「mail というホスト(またはサブドメイン)」と説明してしまうのは表記の揺らぎというか、未定義タームの使用なのでは?
- (FQDN を記載する時に "." を "[.]" と囲むことで自動リンクされることを防ぐことを指して) ここに関してを丁寧に説明すべきで
www.example.com
と書いてしまうと、表示システムによっては自動的にハイパーリンクとして出力してしまうので不用意にクリックしてしまわないために www[.]example[.]com と記載してリンク文字にしないようにしている。 - (スキームについて、「Webサイトの場合は http と https しか使いませんから」との記載を指して) 🤔
wss://
とかあるしなぁ...、言い切ってしまうのはどうもなぁ...。ここは記載を簡略にして分かり易く読み進めることを優先しているとは分かるのだが、引っかかるなぁ。
- p.47 [3.4 電子メールのしくみ]
- (メール関連プロトコルとして SMTP/POP3/IMAP を示しているのに図解がないことを指して) それぞれのプロトコルが何処で使われているかの説明が必要なのではないかと思った。 (「メールは送信時に経由したサーバ等のログを残したまま受信者に届く」との記載を指して) あくまで、SMTPで中継しているログが残っているだけである。今時分は、オープンな中継をするMTAは既に駆逐されているので、途中経路というサーバーは存在しないのではないか? Eメールは、組織やベンダーの違いを容易に跨いでメッセージのやり取りが出来るしくみである。だからこそ便利で、それが故に悪意のあるものに利用されている。
- (「マルウェアを添付したメールをばら撒いてPCを感染させる」との記載を指して) トロイ系についても「感染」と呼ぶのは不思議な感じがする。
- p.55 [3.5 SMS(ショートメール)のしくみ]
- p.56 [3.6 IDとパスワード]
- (パスワードの使い回しは危険だと指摘していることについて) イラストがちりばめられているのに実際のユーザーの共感を呼ぶような構図にした方がイイと思うのだけど...。
- この本は、一般向けの啓蒙を目的とした本であると思う。啓蒙によって被害を防ぎたいのなら、ブラウザのパスワードマネージャーや OSのキーチェーン機能を紹介するに留めるよりも、パスワード管理ツールの選び方や使い方を解説した方が良いように思うのだ。しかし、セキュリティの専門家が公にパスワード管理ツールを勧めている事例を聞かないのだよなぁ、どういう理由があるのだろうか?
- p.59 [3.6 盗まれたパスワードの確認 Have I Been Pwned]
- 著名なセキュリティ研究者とは...? コンピュータ・セキュリティのニュースでは「研究者」と書かれるケースが多い。セキュリティ・エンジニアの肩書きとして「リサーチャー」は、「アナリスト」ではないし「エンジニア」でもない事も多い。セキュリティ関連ニュースをスクラップする人もリサーチャーと呼ばれたりもする...。(研究者というと大学などで研究しているひとをイメージしてしまう)
- したがって、
Have I Been Pwned
に自分のIDを入力するのは中々ワイルドだなと思って掛からないといけないのではないか?
- p.63 [3.6 2要素認証]
- (2要素認証は不正ログインに対しては強力な対抗策であるという記述を指して) SMSやOTPアプリによるワンタイムパスワードも突破されるし、実際にワンタイムパスワード破りを称する闇サービスが存在している。https://www.nikkei.com/article/DGXZQOUC2660D0W1A021C2000000/:title8
- p.64 [4章 フィッシングメール]
- p.71 [4.1 こんなメールがやってくる]
- p.81 [4.2 心理的なだましのテクニック]
- 詐欺師の話を聞いたらその時点でアウトであるように、フィッシングメールを読んだら騙される人は騙されてしまう。注意喚起が通じる人に説明するよりも、偽メールを読まないで済む方法を教える方が役に立つと思うのだ...。
- p.82 [5章 フィッシングSMS]
- p.91 [5.2 本物っぽく見せるワザ]
- p.95 [5.4 SMSを送るマルウェア]
- 技術を紹介するのではなく、被害対策を啓蒙するための本であるようだ。だとすると、読者が本当に読んでくれるのか疑問ですよね。どうやって通信制限しているかなどを解説する方が良い気がするのですよ。(本書の後の方では、詳細を解説しているページがある)
- p.102 [5.4 SMSを送るマルウェア]
- 野良アプリ、サイドローディング。公式ストア(Google Play)以外からアプリをインストールすること。
- p.163 [7章 フィッシングサイトの見分け方 7.3 メールの差出人では見分けられない]
法令
- 現行法
- オリジナル