東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。

URLにhttpsが付いているか否か「だけで」判断するのは絶対にやめてください。鍵がついていれば安全というのは「デマ」です。
382

【2019/11/09 20:00】コメント・一部記述を追加。
【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。
【2019/11/10 17:50】大澤氏のコメントを追加。
【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。
【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。

適切なフィッシング詐欺対策について

本件を契機に、「現時点で妥当なフィッシング対策は何なのか」という議論が行われていました。その結果を下記にまとめましたので、是非ご確認ください。

まとめ ストップフィッシング詐欺!私はだまされない フィッシングメールは「読まない・押さない・過信しない」を心がけましょう。フィッシング詐欺についても、NHK「ストップ詐欺被害~」のような放送が常時されるべき状況と私は考えます。 6547 pv 80 253

1. 概要

  • 東京大学大学院情報学環の大澤昇平特任准教授(@Ohsaworks)が、信頼できるサイトの見分け方と称して 「ブラウザで鍵マークがつき、緑色の表示がされたサイトは90%安全」(要約) と発言。
  • これに対し「技術的に根拠がない」「一般の方に誤った印象を与えかねない発言」といった趣旨の批判が多く寄せられ、一部のセキュリティエンジニアは記事の訂正・削除を求める事態となっている。
  • (2019/11/09 20:00追記)AbemaTimes殿へ記事削除を依頼中。
  • (2019/11/10 17:50追記/19:10修正)大澤氏から技術面での弁明はなく、言い逃れと言わざるを得ないコメントが寄せられました。また、私個人に対する誹謗中傷・実名強要発言がありました。「いい加減」か否かのご判断は、記事を読まれた皆様に委ねます。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
このツイートは権利者によって削除されています。
リンク AbemaTIMES 気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 気象庁は6日、「気象庁の報道発表を装ったメール」に対する注意喚起をTwitterやホームページで行った。 気象庁の発表によると、偽メールは「津波と地震の『早期警報モバイルアプリ』が開発され、そのアプリをダウンロードすると地震活動の開始後、数秒以内に携帯電話やパソコンに通知が届く」という内容で、アプ… 36
Osumi, Yusuke @ozuma5119

. @AbemaTIMES セキュリティエンジニアの者ですが、このような嘘を書くことは詐欺師への幇助になりかねず,修正願えませんか。 昨今の詐欺サイトはLet's Encryptでカギが付いているのが普通です。 times.abema.tv/posts/7027280 > 見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」

2019-11-07 22:32:51
nakamura @tomoaxe

この解説した専門家って誰かな?エンドユーザー向けの啓発活動もやってる身としては、誤った情報をばら撒かれるのはやめて欲しい。 twitter.com/ozuma5119/stat…

2019-11-08 05:25:08
Osumi, Yusuke @ozuma5119

海原雄山「このゴミ記事を書いたのは誰だぁっ!!!!!!」 #Phishing #malware * 専門家が「信頼できるサイト」の見分け方を解説 times.abema.tv/posts/7027280 > 信頼できるWebサイトの見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」

2019-11-07 22:27:31
セキュリティ猫 @nekochanSec555

>信頼できるWebサイトの見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」 この誤った内容、改めフィッシングの専門家に出てもらって再警鐘したほうがいいのでは? 気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 times.abema.tv/posts/7027280

2019-11-09 09:09:56
Aki@めもおきば 冬コミ12/31東U-58b @nekoruri

鍵マーク(HTTPS通信)を信頼させるのは、誤った安心感を招き被害を拡大させる行為であるので、加害者側によるロビイングとすら言われても仕方ない行為。知らない、まではともかく、それを指摘されても誤りを認められないならITの研究に携わるべきではないと思うよ。

2019-11-09 19:54:36
マイハイ @MaihaiStyle

.@AbemaTIMES 御社記事(times.abema.tv/posts/7027280)に記載されている事項ですが、フィッシング詐欺サイト対策として不適切な手法であり、一般人を詐欺の危険に晒しかねないものです。早急に削除願います。 【参考資料】togetter.com/li/1428161

2019-11-09 18:52:15

2. 何が批判されたのか

① 「緑色は90%安全」の根拠が不明

  • 2016年4月開設の認証局「Let's Encrypt」を利用すると、無償かつ容易に「ブラウザで鍵マークがつき、緑色の表示がされたサイト」を作るための証明書を取得可能。多くの正規サイトで利用されている。
  • 一方、正規サイトだけでなくフィッシングサイトにも「Let's Encrypt」発行の証明書が利用されてしまっている(これは有料認証局の証明書でも仕様上は防げない)。大澤氏が当番組内で紹介された手法のみでは、フィッシングサイトとの判別は困難。
  • (2019/11/09 20:00追記)SSL/TLSの有無だけを根拠にフィッシング・非フィッシングサイトを区別するのは困難であるにも関わらず、どのような根拠で「90%」を出したか、記載も発言もない。
  • 【補足】証明書パスを確認すれば「参考情報」は得られるが、後述の理由からそもそも判別手段として不適切。
マイハイ @MaihaiStyle

こちら補足をさせてください。 現状Let's Encryptも「valid」判定される以上、ここだけでtrustか否かを判断するのは尚早と思われます。 twitter.com/Ohsaworks/stat…

2019-11-08 11:21:26
大澤昇平 @Ohsaworks

@ozuma5119 その、鍵アイコンをくりっくしてみてくだい。緑か赤ではありませんか?

2019-11-08 11:05:28
︎︎︎ ︎ @stmkza

これ,Let's encryptでも鍵マーク出るわけで,それは誰でも容易に設定できる以上「ある程度の安全の指標」にすらならなくない? twitter.com/ohsaworks/stat…

2019-11-08 22:00:23
大澤昇平 @Ohsaworks

@MaihaiStyle 繰り返しになりますが、trustと断定はしていません。同じ意見のような気がしますが、どこが紛争のポイントになってます?

2019-11-08 11:55:08
たなてぃ @IkaTanat

無料&自動で「正当な認証局から」認証されるのが当たり前の現代においては現在の詐欺サイトでhttps対応してないところなんか無いんだから、安全である確率が高いという事実は存在し得ないんでないかな。 詐欺サイト管理者がLet's encryptを導入しないケースはほぼ無く、逆は普通にある twitter.com/Ohsaworks/stat…

2019-11-09 02:17:11
大澤昇平 @Ohsaworks

@ozuma5119 番組では、正当な認証局から信頼されているウェブサイトは、そうでないサイトよりも安全である確率が高い、と発言しています。絶対安全とは断言していません。

2019-11-08 11:03:11

② サーバ証明書自体の知識不足

  • サーバ証明書は「認証局」が存在を認知しているだけにすぎず、その仕様上「Webサイトの信頼性」を保証する役割を持たない。
  • 上記理由から、そもそも「Webサイトの信頼性確認」にサーバ証明書を確認するという手法自体が誤り。
Hiromitsu Takagi @HiromitsuTakagi

TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能はTLS(SSL)の機能ではない。

2018-06-08 00:20:02
ʕ•̫͡•ʕ•̫͡•ʔ ka0com ʕ•̫͡•ʕ•̫͡•ʔ @ka0com

「アドレスバーにカギのアイコンが付いているかどうか」 いや、それは暗号化されてるかの指標であって、サイトが信頼出来ることの担保にはならないからさ… 気象庁を装った偽メール問題 専門家が「信頼できるサイト」の見分け方を解説 | AbemaTIMES times.abema.tv/posts/7027280

2019-11-07 23:51:05
todkm IT系 @todkm

@Ohsaworks (1)SSLの有無を確認したいなら錠前があればよい。錠前をクリックして緑色(の文字)まで確認しましょうという説明は誤り。(2)SSLはサイトの信頼性保証ではないため、偽サイトかどうかの判別方法としてSSLの有無の確認をアドバイスするのは、いかなる意味でも誤り。

2019-11-09 00:56:43

③ フィッシングに対する認識不足

  • フィッシング対策協議会へのフィッシングサイト報告数は、今年度過去最悪を更新するペースで増加している。また警察庁の発表で、2019年9月のフィッシング被害額は過去2番目に最悪、年間被害額は既に昨年を上回る約4.2億円を記録している。
  • そのような状況での大澤氏の誤った認識に基づく発言は、被害抑止の観点からも早急に訂正しなければならない。しかし大澤氏は「緊急性はない」とコメント。
マイハイ @MaihaiStyle

今年度のフィッシング報告数は、毎月過去最悪を更新している状況であり、一般への対策周知は緊急の課題です。その中で、セキュリティエンジニアの多くが疑問を持つ今回記事への弁明を「再調査のために」延期ならまだしも、「緊急性はない」というのは理解できません。 twitter.com/Ohsaworks/stat…

2019-11-09 08:30:56
大澤昇平 @Ohsaworks

@MaihaiStyle 月曜でもよいですか?そこまで緊急性のある案件ではないという理解です。

2019-11-09 08:14:22