東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。

【2019/11/09 20:00】コメント・一部記述を追加。
【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。
【2019/11/10 17:50】大澤氏のコメントを追加。
【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。
【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。

適切なフィッシング詐欺対策について

本件を契機に、「現時点で妥当なフィッシング対策は何なのか」という議論が行われていました。その結果を下記にまとめましたので、是非ご確認ください。

1. 概要

• 東京大学大学院情報学環の大澤昇平特任准教授(@Ohsaworks)が、信頼できるサイトの見分け方と称して 「ブラウザで鍵マークがつき、緑色の表示がされたサイトは90%安全」(要約) と発言。
• これに対し「技術的に根拠がない」「一般の方に誤った印象を与えかねない発言」といった趣旨の批判が多く寄せられ、一部のセキュリティエンジニアは記事の訂正・削除を求める事態となっている。
• (2019/11/09 20:00追記)AbemaTimes殿へ記事削除を依頼中。
• (2019/11/10 17:50追記/19:10修正)大澤氏から技術面での弁明はなく、言い逃れと言わざるを得ないコメントが寄せられました。また、私個人に対する誹謗中傷・実名強要発言がありました。「いい加減」か否かのご判断は、記事を読まれた皆様に委ねます。

2. 何が批判されたのか

① 「緑色は90%安全」の根拠が不明

• 2016年4月開設の認証局「Let's Encrypt」を利用すると、無償かつ容易に「ブラウザで鍵マークがつき、緑色の表示がされたサイト」を作るための証明書を取得可能。多くの正規サイトで利用されている。
• 一方、正規サイトだけでなくフィッシングサイトにも「Let's Encrypt」発行の証明書が利用されてしまっている(これは有料認証局の証明書でも仕様上は防げない)。大澤氏が当番組内で紹介された手法のみでは、フィッシングサイトとの判別は困難。
• (2019/11/09 20:00追記)SSL/TLSの有無だけを根拠にフィッシング・非フィッシングサイトを区別するのは困難であるにも関わらず、どのような根拠で「90%」を出したか、記載も発言もない。
• 【補足】証明書パスを確認すれば「参考情報」は得られるが、後述の理由からそもそも判別手段として不適切。

② サーバ証明書自体の知識不足

• サーバ証明書は「認証局」が存在を認知しているだけにすぎず、その仕様上「Webサイトの信頼性」を保証する役割を持たない。
• 上記理由から、そもそも「Webサイトの信頼性確認」にサーバ証明書を確認するという手法自体が誤り。

③ フィッシングに対する認識不足

• フィッシング対策協議会へのフィッシングサイト報告数は、今年度過去最悪を更新するペースで増加している。また警察庁の発表で、2019年9月のフィッシング被害額は過去2番目に最悪、年間被害額は既に昨年を上回る約4.2億円を記録している。
• そのような状況での大澤氏の誤った認識に基づく発言は、被害抑止の観点からも早急に訂正しなければならない。しかし大澤氏は「緊急性はない」とコメント。