URLにhttpsが付いているか否か「だけで」判断するのは絶対にやめてください。鍵がついていれば安全というのは「デマ」です。

【2019/11/09 20:00】コメント・一部記述を追加。

【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。

【2019/11/10 17:50】大澤氏のコメントを追加。

【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。

【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。

適切なフィッシング詐欺対策について

本件を契機に、「現時点で妥当なフィッシング対策は何なのか」という議論が行われていました。その結果を下記にまとめましたので、是非ご確認ください。

まとめ ストップフィッシング詐欺！私はだまされない フィッシングメールは「読まない・押さない・過信しない」を心がけましょう。フィッシング詐欺についても、NHK「ストップ詐欺被害～」のような放送が常時されるべき状況と私は考えます。 4614 pv

1. 概要 東京大学大学院情報学環の大澤昇平特任准教授(@Ohsaworks)が、信頼できるサイトの見分け方と称して 「ブラウザで鍵マークがつき、緑色の表示がされたサイトは90%安全」(要約) と発言。

と発言。 これに対し 「技術的に根拠がない」「一般の方に誤った印象を与えかねない発言」 といった趣旨の批判が多く寄せられ、一部のセキュリティエンジニアは記事の訂正・削除を求める事態となっている。

といった趣旨の批判が多く寄せられ、一部のセキュリティエンジニアは記事の訂正・削除を求める事態となっている。 (2019/11/09 20:00追記)AbemaTimes殿へ記事削除を依頼中。

(2019/11/10 17:50追記/19:10修正)大澤氏から技術面での弁明はなく、言い逃れと言わざるを得ないコメントが寄せられました。また、私個人に対する誹謗中傷・実名強要発言がありました。 「いい加減」か否かのご判断は、記事を読まれた皆様に委ねます。

2. 何が批判されたのか

① 「緑色は90%安全」の根拠が不明 2016年4月開設の認証局「Let's Encrypt」を利用すると、無償かつ容易に「ブラウザで鍵マークがつき、緑色の表示がされたサイト」を作るための証明書を取得可能。 多くの正規サイトで利用されている。

一方、 正規サイトだけでなくフィッシングサイトにも「Let's Encrypt」発行の証明書が利用されてしまっている(これは有料認証局の証明書でも仕様上は防げない)。 大澤氏が当番組内で紹介された手法のみでは、フィッシングサイトとの判別は困難。

大澤氏が当番組内で紹介された手法のみでは、フィッシングサイトとの判別は困難。 (2019/11/09 20:00追記)SSL/TLSの有無だけを根拠にフィッシング・非フィッシングサイトを区別するのは困難であるにも関わらず、どのような根拠で「90%」を出したか、記載も発言もない。

【補足】証明書パスを確認すれば「参考情報」は得られるが、 後述の理由からそもそも判別手段として不適切。

② サーバ証明書自体の知識不足 サーバ証明書は「認証局」が存在を認知しているだけにすぎず、その仕様上「Webサイトの信頼性」を保証する役割を持たない。

上記理由から、そもそも 「Webサイトの信頼性確認」にサーバ証明書を確認するという手法自体が誤り。