東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。
- MaihaiStyle
- 242319
- 2659
- 458
- 1274
【2019/11/09 20:00】コメント・一部記述を追加。
【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。
【2019/11/10 17:50】大澤氏のコメントを追加。
【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。
【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。
適切なフィッシング詐欺対策について
本件を契機に、「現時点で妥当なフィッシング対策は何なのか」という議論が行われていました。その結果を下記にまとめましたので、是非ご確認ください。
1. 概要
- 東京大学大学院情報学環の大澤昇平特任准教授(@Ohsaworks)が、信頼できるサイトの見分け方と称して 「ブラウザで鍵マークがつき、緑色の表示がされたサイトは90%安全」(要約) と発言。
- これに対し「技術的に根拠がない」「一般の方に誤った印象を与えかねない発言」といった趣旨の批判が多く寄せられ、一部のセキュリティエンジニアは記事の訂正・削除を求める事態となっている。
- (2019/11/09 20:00追記)AbemaTimes殿へ記事削除を依頼中。
- (2019/11/10 17:50追記/19:10修正)大澤氏から技術面での弁明はなく、言い逃れと言わざるを得ないコメントが寄せられました。また、私個人に対する誹謗中傷・実名強要発言がありました。「いい加減」か否かのご判断は、記事を読まれた皆様に委ねます。
. @AbemaTIMES セキュリティエンジニアの者ですが、このような嘘を書くことは詐欺師への幇助になりかねず,修正願えませんか。 昨今の詐欺サイトはLet's Encryptでカギが付いているのが普通です。 times.abema.tv/posts/7027280 > 見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」
2019-11-07 22:32:51この解説した専門家って誰かな?エンドユーザー向けの啓発活動もやってる身としては、誤った情報をばら撒かれるのはやめて欲しい。 twitter.com/ozuma5119/stat…
2019-11-08 05:25:08海原雄山「このゴミ記事を書いたのは誰だぁっ!!!!!!」 #Phishing #malware * 専門家が「信頼できるサイト」の見分け方を解説 times.abema.tv/posts/7027280 > 信頼できるWebサイトの見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」
2019-11-07 22:27:31>信頼できるWebサイトの見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」 この誤った内容、改めフィッシングの専門家に出てもらって再警鐘したほうがいいのでは? 気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 times.abema.tv/posts/7027280
2019-11-09 09:09:56鍵マーク(HTTPS通信)を信頼させるのは、誤った安心感を招き被害を拡大させる行為であるので、加害者側によるロビイングとすら言われても仕方ない行為。知らない、まではともかく、それを指摘されても誤りを認められないならITの研究に携わるべきではないと思うよ。
2019-11-09 19:54:36.@AbemaTIMES 御社記事(times.abema.tv/posts/7027280)に記載されている事項ですが、フィッシング詐欺サイト対策として不適切な手法であり、一般人を詐欺の危険に晒しかねないものです。早急に削除願います。 【参考資料】togetter.com/li/1428161
2019-11-09 18:52:152. 何が批判されたのか
① 「緑色は90%安全」の根拠が不明
- 2016年4月開設の認証局「Let's Encrypt」を利用すると、無償かつ容易に「ブラウザで鍵マークがつき、緑色の表示がされたサイト」を作るための証明書を取得可能。多くの正規サイトで利用されている。
- 一方、正規サイトだけでなくフィッシングサイトにも「Let's Encrypt」発行の証明書が利用されてしまっている(これは有料認証局の証明書でも仕様上は防げない)。大澤氏が当番組内で紹介された手法のみでは、フィッシングサイトとの判別は困難。
- (2019/11/09 20:00追記)SSL/TLSの有無だけを根拠にフィッシング・非フィッシングサイトを区別するのは困難であるにも関わらず、どのような根拠で「90%」を出したか、記載も発言もない。
- 【補足】証明書パスを確認すれば「参考情報」は得られるが、後述の理由からそもそも判別手段として不適切。
こちら補足をさせてください。 現状Let's Encryptも「valid」判定される以上、ここだけでtrustか否かを判断するのは尚早と思われます。 twitter.com/Ohsaworks/stat…
2019-11-08 11:21:26これ,Let's encryptでも鍵マーク出るわけで,それは誰でも容易に設定できる以上「ある程度の安全の指標」にすらならなくない? twitter.com/ohsaworks/stat…
2019-11-08 22:00:23@MaihaiStyle 繰り返しになりますが、trustと断定はしていません。同じ意見のような気がしますが、どこが紛争のポイントになってます?
2019-11-08 11:55:08無料&自動で「正当な認証局から」認証されるのが当たり前の現代においては現在の詐欺サイトでhttps対応してないところなんか無いんだから、安全である確率が高いという事実は存在し得ないんでないかな。 詐欺サイト管理者がLet's encryptを導入しないケースはほぼ無く、逆は普通にある twitter.com/Ohsaworks/stat…
2019-11-09 02:17:11@ozuma5119 番組では、正当な認証局から信頼されているウェブサイトは、そうでないサイトよりも安全である確率が高い、と発言しています。絶対安全とは断言していません。
2019-11-08 11:03:11② サーバ証明書自体の知識不足
- サーバ証明書は「認証局」が存在を認知しているだけにすぎず、その仕様上「Webサイトの信頼性」を保証する役割を持たない。
- 上記理由から、そもそも「Webサイトの信頼性確認」にサーバ証明書を確認するという手法自体が誤り。
TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能はTLS(SSL)の機能ではない。)
2018-06-08 00:20:02「アドレスバーにカギのアイコンが付いているかどうか」 いや、それは暗号化されてるかの指標であって、サイトが信頼出来ることの担保にはならないからさ… 気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 | AbemaTIMES times.abema.tv/posts/7027280
2019-11-07 23:51:05@Ohsaworks (1)SSLの有無を確認したいなら錠前があればよい。錠前をクリックして緑色(の文字)まで確認しましょうという説明は誤り。(2)SSLはサイトの信頼性保証ではないため、偽サイトかどうかの判別方法としてSSLの有無の確認をアドバイスするのは、いかなる意味でも誤り。
2019-11-09 00:56:43③ フィッシングに対する認識不足
- フィッシング対策協議会へのフィッシングサイト報告数は、今年度過去最悪を更新するペースで増加している。また警察庁の発表で、2019年9月のフィッシング被害額は過去2番目に最悪、年間被害額は既に昨年を上回る約4.2億円を記録している。
- そのような状況での大澤氏の誤った認識に基づく発言は、被害抑止の観点からも早急に訂正しなければならない。しかし大澤氏は「緊急性はない」とコメント。
今年度のフィッシング報告数は、毎月過去最悪を更新している状況であり、一般への対策周知は緊急の課題です。その中で、セキュリティエンジニアの多くが疑問を持つ今回記事への弁明を「再調査のために」延期ならまだしも、「緊急性はない」というのは理解できません。 twitter.com/Ohsaworks/stat…
2019-11-09 08:30:56