情報セキュリティの脅威はすぐそこに

「悪意あるサイト」を見破れ

セキュリティエンジニアを中心に騒動となる炎上事件が起きたので紹介したいと思います。
発端や経緯についてはTogetterにまとめられていますのでそちらを参照していただきつつ、2週間以上経過してもこの発端となった人物の人となりを巡って炎上が続いています。


端的には「フィッシングサイトを如何に見分けるか」という話の中で、「アドレスバーにカギのアイコンが付いているかどうか」≒「SSL/TLSに対応している」のであれば「だいたい安全」という指摘と、それに対するツッコミという構図です。

この発端となった発言を弁護する余地はほとんどなく、掲載したメディアも含めてSSLに対する誤解が広がっているという事実に悲しみすら覚えます。
ツッコミでも指摘されている通り、SSL証明書はその仕組み上中間者攻撃である改竄や盗聴に対しては有効ですが、その接続先が本当に信頼に足りるかどうかはあまりアテになりません。
本来、EV証明書がその役割を担う可能性はありましたが、価格や審査の手間が煩雑であったり、ワイルドカードが使えないなどの機能面での劣後もあり、あまり普及していません。
ましてや今年から来年にかけて各種ブラウザでEV証明書利用時でもアドレバーに企業名が表示されなくなるという仕様変更が始まっているため、この傾向はますます強くなる可能性があります。
加えて「Let’s Encrypt」の登場により、DV証明書であれば無料で取得することができ、もはや悪意のあるサイトでさえSSL/TLSに対応しているということも珍しくありません。

ではそもそも悪意あるサイトに対してどのように気をつけて見破ればいいのかというところですが、残念ながら確実に安全な冴えた方法はないかもしれません。
セキュリティソフトやブラウザのアドオンなどである程度対策や警告を出すことは可能ですが、基本的にブラックリスト方式になっていることが多く、必ずしも最新の実情を反映しているとは言えない状況があります。
心当たりなく飛んできたメールに記載されているURLをクリックしない、SNSなどから流れてくる危機感を煽るような文書と共に記載されているURLをクリックしないというのがほぼ対策の全てではあります。
個人の胆力に頼らざるを得ないというのは悲しいところではありますが、SSL証明書やメールであればSPFやDKIMという技術導入の障壁が比較的低いがために、悪意ある側も採用しやすいというのは厳然たる事実です。
インターネット上の犯罪に限らず、例えば特殊詐欺の電話などの場合でも「怪しいと感じたらすぐに切る」「日頃から親類との連絡を取っておく」というのが対策として挙げられることと大差ないとも言えます。

…という記事を書いていたら、個人的なメールアドレス宛にカード会社を騙るフィッシングメールがやってきました。
明らかに日本語がおかしい、文中のURLが偽物という特徴はありますが、一応URLはhttpsになっています。この場合、「90%安全」と思っていいのか「残り10%」の方に入るのか、どう考えれば良いのでしょうか。