<前の日記(2005年02月06日) 次の日記(2005年02月12日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2558   昨日: 5314

2005年02月11日

フィッシング報道に見るテレビによる啓発の限界

今週は、フィッシング詐欺の話題を扱うテレビ番組が立て続けにあった。 日曜はTBSの報道特集、 月曜はNHKのクローズアップ現代と特集で扱われ、 そして木曜にはテレビ朝日のやじうまプラスでちょっとだけ扱われた。 やじうまプラスでは、直前に勤務先に取材申し込みがあり、 私もコメントした。

その中で限界を感じたのは、テレビで自衛策を伝えるのはどうにも無理っぽい ということだ。

5年前にソフトウェアのセキュリティ欠陥の問題に首を突っ込んだのは、当時 の私の認識として、あまりにも世間で脆弱性の存在とパッチの必要性が認識さ れておらず、その認識を変えなければどうともならないという思いがあったか らだった*1。その後、インターネットの利用が一般市民へさらに広 がりつつ、大規模なワーム被害が出るなどして、マスメディアがインターネッ トのセキュリティ問題を扱うことがたびたびあるようになってきた。

その中で、取材を申し込まれたりアドバイスを求められたりすることがあった。 そのときいつも意見として主張していたのは、何が根本的な原因で、誰がどう 対処するべきかということこそを、視聴者に伝えるべきだということだった。

しかしそれはなかなか達成されなかった。新聞でもテレビでも、取材する記者 やディレクターさんは、説明すれば問題点をきちんと把握してくださるけれど も、それがデスクに上げられたときに、却下されるというパターンが多いらし い。

「難しい」話はできないというのだ。専門用語がひとつでもあると駄目という のは、端から見ていてもわかることで、「ネット閲覧ソフト」などといった言 い換えがいまだになされている。

今回も当初、「アドレスバー」という言葉を出したときに難しい顔をされた。 アドレスバーと言っても視聴者はわからないだろうから……というのだ。

いろいろ経験して悟ったのは、ようするにテレビというのは、視聴者が理解可 能な話(視聴者達がその話題を理解するのにふさわしい知識の準備ができてい る話)しか扱えないということらしい。まるっきり誰にでもわかりきっている 話なら、それはニュースでないのだから放送する意味がないわけだが、ちょっ とだけ新しいことを入れて伝えるのだと。知らない話を延々とやると視聴者が ヒクということがあるだろう。それは視聴率として現れる。

これはしかたのないことなのだろう。視聴者には、そもそもインターネットに 無縁な人がある程度の割合で存在する。異常プリオンの話とか、有害物質の話 とか、○○が健康にいいとかの話であれば、人々の生活に関わるのだから視聴 者の全員が対象となるのと違ってだ。だが、5年前ならいざしらず、今はどう か。うちの両親(極度の機械音痴)でさえ常時接続でWindowsでいろいろやっ ているらしいし、もうそろそろインターネットと無縁な人の割合は、半分は割っ ているはずではないだろうか。

「アドレスバー」は本当にテレビで使えない言葉なのか? フィッシング詐欺 の話を出すのに、アドレスバーを避けて通ってどうるすのだ? 「アドレスバー」 と言ってヒクような視聴者は、まさにアドレスバーを普段見ておらずフィッシ ング詐欺の被害に遭いかねない人たちなのだから、その人たちに注意を促すに あたって「アドレスバー」という言葉を使わないというのでは、いったいどう しろというのか。

TBSの報道特集*2では、自衛策の紹介は 皆無に等しかった。キャスターの最後の締めくくりの言葉で、「個人情報を求 めているサイトあるいはメールに対しては、送信元に電話で再度確認するなど、 疑ってかかるといいますか、警戒心を持つということしか自衛策はないのかも しれません」と言っただけだった。後半では、スパイウェアによる手口が最近 は出始めている話を紹介するにあたって、トロイの木馬の実演をして見せてい たが、例によって「ハッカーならなんでもできてしまう」的な扱いになってお り、単に消費者たちに恐怖心を植えつけるだけに終わっている。本来ならば、 トロイに感染しないためには、メールの添付ファイルを開かないようにすると か、パッチをあてるようにするとか、そういうことを紹介するべきところだが、 それは全くなしだ。 これでは、視聴者は「フィッシング詐欺 → どうしようもない → 怖い怖い」 という感想で終わってしまう。

クローズアップ現代はどうだったかというと、こちらの番組は、外国で本当に 深刻な事態になっているのだという実態イメージを伝えることに力点が置かれ ていた。カード番号を盗られるとどうなるかという話、SSN(社会保障番号) を盗られてローンを組まれた話などが紹介されていた。個人情報が国際的に 売買されている実態も紹介され、騙されることがどう深刻なのかを伝えていた。 また、偽サイトが侵入された個人のパソコンに作られている話や、日本の法律 では情報を盗み取った段階では取り締まれない話、ウイルスと違って機械的に 防ぐのが難しいという話が伝えられていた。しかし、消費者の自衛手段につい ての紹介はイマイチだった。挙げられていた自衛策は、

  • 個人情報を求めるメールは疑う
  • 疑問を感じたら問い合わせる
  • インターネット用のクレジットカード、預金口座を別に持ち、預金額を制限しておく

というもので、これは実質的に、自衛手段は存在しないと言っているようなも のだ。

クローズアップ現代では、アドレスバーに偽URLの枠なしウィンドウを被せる手口を紹介して、 メモ帳のウィンドウを上に載せることで、「ズラ」が浮き上がって見えるという、 動画像ならではの直感的でなかなかうまい説明をしていたが、 ここで言うべきことは、Windows XP に Service Pack 2を入れれば、この手口 は使えなくなるということだ。

たしかに完全な策はない。いくらパッチを適用していても、未知の脆弱性を突 いた攻撃が突然やってくる可能性は否定できないのだから、「こうすれば安全」 という説明はできない。だからといって、何も説明しないというのはいかがな ものか。

英語圏では、フィッシングの手口は徐々に進化してきたことから、おそらく、 人々も徐々に自衛策の基本を理解してきているのではないかと予想する。 つまり、最初の簡単な手口(http://202.xxx.xxx.xxx/ といったアドレス)が 横行した段階で、「アドレスバーをまず確認する」というのが常識となっただ ろうし、アドレスバーを隠したポップアップウィンドウに入力させる手口が横 行し始めると、「アドレスバーのないウィンドウにはパスワードを入れない」 という常識が浸透していっただろう。英語圏ではそうやって現在があるわけだ が、日本では、そうした段階をすっ飛ばしていきなり高度な手口で、フィッシ ング詐欺が流行るおそれがある。基本的な自衛方法を身につけることを放棄し て、ただ大騒ぎするということになりかねない。

大事なことは、本来あるべき姿と現実的な対応とを分けて示すことだ。そうし ないと、何が誰の責任なのかがわからなくなってしまう。つまり、アドレスバー を確認しないのは、ユーザの責任であるし、アドレスバーが偽装されてしまう のは、ブラウザのメーカーに責任があるか、もしくは本物サイトに責任がある (クロスサイトスクリプティング脆弱性)というように区別する必要がある。 アドレスバー偽装に使われるようなブラウザの仕組みや、気をつけていてもト ロイに感染してしまうような原因箇所は、セキュリティ脆弱性として認識され て修正されてきているのだから、そのことを伝えて、あとは消費者にパッチを あてるよう呼びかける。それでもなお、騙されてしまうことが起き得るので…… と、話を分けるべきだろう。

ちなみに、木曜日のやじうまプラスでは、3分50秒という短い時間の中で、き ちんと、アドレスバーの話と、鍵マークの話も扱ってくださった。よかった*3

しかし、アドレスバー偽装の話はできていないし、トロイを使った hosts 書き換えなどの話もできていない。

こんなので対策になると言ってしまうと、ご批判もあるだろう。錠前アイコン の存在を確認せよという話は、現時点では比較的有効だと思うので、チェック ポイントとして出してもらったが、本当は、サーバ証明書の中身まで見ないと いけない(SSLを提供しているどこかのレンタルサーバが偽サイトに使われる 可能性もある)し、本物サイトにクロスサイトスクリプティング脆弱性がある 場合には、サーバ証明書を確認しても見破れないという話もしておく必要があっ た。それは時間的に無理だった。

もっとも、まだ大規模な被害が確認されていない現段階で、これだけ注意を呼 びかける報道がなされているのは、よいことだ。今後、残念なことに日本でも 欧米並みに被害が深刻になるような事態がおとずれると、自衛策の一つ一つを 紹介する番組が出てくるのかもしれない……が、どうだろうか*4

フィッシングによるカード不正利用の被害はUFJカードだけではあるまい

月曜の昼のNHKニュースで、フィッシング詐欺が原因とみられるクレジットカー ド不正使用被害が、UFJカードの7人の会員について、昨年の10月〜11月に出て いたことが確認されたと報道されていた。

  • このような手口にご注意ください, 一連の報道について, UFJカード

    2005年2月7日、NHKのニュース報道で、当社のお客さまが「フィッシング詐欺の被害を受けた」と報じられました。本件につきまして、以下のとおりご説明いたします。

    ・昨年9月から10月にかけて、ルーマニアなどにおきまして当社のクレジット カードを偽造したカードの使用が発覚いたしました。調査しましたところ、33 名のお客さまのクレジットカードが偽造され、そのうち8名のクレジットカー ドにより現金を借り入れる「キャッシング」が不正に利用されていることが判 明いたしました。被害総額は約150万円です。

    (略)

ここで注意すべきことは、UFJカードの偽サイトが作られたという話ではない という点だ。VISAジャパンとか、ヤフーとか、その他のサイトを装ったフィッ シング詐欺で、クレジットカードの情報を入力してしまった人たちの被害なの だろう。

ということは当然ながら、被害者はUFJカードの会員に限られるはずもないわ けで、他のクレジットカード会社にも同様に被害が出ているはずだろう。

10月の話が今ごろになって表に出てきたわけだが、他のカード会社の被害状況 とかはきちんと把握されているのだろうか。警察庁や経済産業省のフィッシン グ対策連絡会のようなところではきちんと(秘密裏に?)情報が共有されてい るのだろうか。

*1 当時起きた省庁ホームページ改竄事件で、ファイアウォール を入れていなかったからだとか、パスワードがどうのとか、そういう話に終始 していて、脆弱性にパッチをあてるという話が表に出てこなかった。ソフトウェ アは入れたら入れっぱなし。メンテナンスコスト(脆弱性修正としての)がか かるということが認識されていなかった。この認識はソフトウェアベンダ側も 似たようなもので、パッチを出していても重要ユーザにさえろくに伝えていな い(銀行がユーザの事例など)事例があったし、パソコンメーカーがWindows の脆弱性の存在について、知らぬ存ぜぬで通したという状況があった。エンド ユーザが欠陥の存在を認識しない限り、そうした状況は変わず、事故や事件が 置きつつも原因不明のまま被害者が泣き寝入りするという未来が来てしまうと、 そう感じていた。

*2 私は何も協力していないが。

*3 ありがとうございます。

*4 多チャ ンネル化がもっと進んで、専門チャンネルとかができたらいいのに。

本日のTrackBacks(全3件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20050211]

後半では、スパイウェアによる手口が最近は出始めている話を紹介するにあたって、トロイの木馬の実演をして見せていたが、例によって「ハッカーならなんでもできてしまう」的な扱いになっており、単に消費者たちに恐怖心を植えつけるだけに終わっている。 高木浩光さんの..

<FONT size=2>本当は昨日載せる予定だったのに、仕事の合間に書いた文章を仕事用PCから持ち出すの忘れちゃった^^;</FONT>
<FONT size=2><A tar

1年前の情報ではあるが、Yahooで最も検索される言葉の2位はgoogleだ。今年もそれほど変わらない。 Yahoo! 2005年検索ワードランキング アドレスバーにhttp://www.google.co.jp/とタイプすればいいのにと思う人は、Windows95の頃からwebを見ていた人だけで、2000年..

検索

<前の日記(2005年02月06日) 次の日記(2005年02月12日)> 最新 編集

最近のタイトル

2024年03月23日

2024年03月19日

2024年03月16日

2024年03月13日

2024年03月11日

2023年03月27日

2022年12月30日

2022年12月25日

2022年06月09日

2022年04月01日

2022年01月19日

2021年12月26日

2021年10月06日

2021年08月23日

2021年07月12日

2020年09月14日

2020年08月01日

2019年10月05日

2019年08月03日

2019年07月08日

2019年06月25日

2019年06月09日

2019年05月19日

2019年05月12日

2019年03月19日

2019年03月16日

2019年03月09日

2019年03月07日

2019年02月19日

2019年02月11日

2018年12月26日

2018年10月31日

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|10|12|
2019|02|03|05|06|07|08|10|
2020|08|09|
2021|07|08|10|12|
2022|01|04|06|12|
2023|03|
2024|03|
<前の日記(2005年02月06日) 次の日記(2005年02月12日)> 最新 編集