パスワードを忘れた? アカウント作成
14094173 story
インターネット

フィッシング詐欺メールを文面から見破ることは困難との指摘 73

ストーリー by hylom
見破れると思ってるほうが危険という説 部門より

日本テレビ系列の放送局で1月18日に放送された「世界一受けたい授業」という番組内で、フィッシング詐欺が取り上げられたという。しかし、そこで紹介された対策手法が正しくないとの指摘が出ている(Togetterまとめ)。

番組内ではメール内のURLを確認するといった手法が紹介されたようだが、昨今ではフィッシング詐欺メールを見破ることが困難であり、見た目や文面で区別することはほぼ不可能だという。そのため、たとえばサイトへのアクセスを求めるようなメールが届いた場合、そのメール内のURLではなく、ブックマークなどからアクセスするべきだと指摘されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by hakikuma (47737) on 2020年01月24日 9時54分 (#3750201)
    詐欺師も顔面から見破ることは困難だしな
  • たとえばサイトへのアクセスを求めるようなメールが届いた場合、そのメール内のURLではなく、ブックマークなどからアクセスするべきだと指摘されている。

    でも、カジュアルに「この記事、面白いよ」とか「その件ならこのページに書いてあるよ」とメールに URL を書いて送ることは少なくない。まぁ、今どき、プライベートのやり取りなら、LINE の方が多いだろうけど。

    そういった文面のメールで偽メールが送られる可能性もゼロではない。

    「対策手法が正しくない」というよりは、「絶対に防げる現実的な手法はない」という事を、さも「これで完璧」みたいに流布するのが問題であって、対策手法自体は、リスクを軽減する手法としては、間違っていないと思うけど。

    • by Anonymous Coward

      カジュアルに「この記事、面白いよ」とか「その件ならこのページに書いてあるよ」とメールに URL を書いて送る(以下略)
      そういった文面のメールで偽メールが送られる可能性もゼロではない。

      そんなの何年も前からちょくちょく届いてますが

      • by Anonymous Coward

        知り合いのアドレスを偽装して?おれは一度もないな。

        • by Anonymous Coward

          知り合いどころか自分のアドレスですらあるな。

          • by Anonymous Coward

            送る相手のアドレスを詐称するのは簡単だけど、相手の知り合いのアドレスを詐称するには相手もしくは知り合いのアドレス帳を盗むなり、何らかの紐付けされたデータが必要なので、そりゃそうだろうなとしか。

        • by Anonymous Coward

          元コメは文面についての話をしているだけで、送信者については何も言及していないぞ

    • by Anonymous Coward

      そういうメールはよく来るし、しかも短縮アドレスにしてリンク先がすぐにはわからないようにしていることもある。文字数制限などないメールでやらなくてもいいはずなんだがTwitterの影響なのか短縮アドレスを多用する人がいて、短縮だからすぐスパム直行というわけにもいかない。
      一般の人にとって短縮アドレスの正体がなんなのかは、アクセスしてみるまでわからない。マスコミの皆さんには「短縮アドレスはダメですよ」という啓蒙(?)をしてもらえないものだろうか。

      • by Anonymous Coward

        クリックだけで被害が出るような、ブラウザとかアプリを禁止するという方向性はないの?
        とにかくパスワードさえ入れなければ安全という感じで。

        • by Anonymous Coward

          おそらく世の中のすべてのブラウザとアプリの利用が禁止されてしまいますね。
          ページを開いた段階でJavaScriptが読み込まれるので、暗号通貨マイニングでも無限ウインドウでも好きにできます。
          各種スクリプトを実行しない設定にすればクリックだけで被害が出るようなことは少なくなるでしょうが、快適なブラウジングも難しくなるので、現実的ではありません。

  • 事実か否かは問題じゃ無いし、その情報を広めるかどうかもマスコミが決めること。
    技術的な誤報なんて日常茶飯事で例示しきれない。科学知識の無い人間が聞いた話を無理矢理再構築してるからね。

    捏造例はここ数日見かけた分だけでも以下の通り
    日経新聞「パワーワードとは力強いことば、パワワと略されます。例:『婚約者と別れた』」 [livedoor.jp]
    10代が予想する今年の流行語大賞は 「チンチャ(本当)それな」 [livedoor.jp]
    フジ「とくダネ!」BPO審理へ 「誘導尋問」の申し立て受け [livedoor.com]

    --

    ψアレゲな事を真面目にやることこそアレゲだと思う。
  • by Anonymous Coward on 2020年01月23日 8時04分 (#3749592)

    マスメディアの副業かも?

    例えば朝日新聞社は不動産業を副業としています。
    日本テレビは、副業の収入upを狙って怪しいフィッシング詐欺対策を放送した可能性もある。

    • by Anonymous Coward on 2020年01月23日 11時37分 (#3749716)
      君が大〜好きなフジサンケイグループにだって不動産屋はあるぞ。
      しかも外国人向けだなんてモロに詐欺臭プンプンじゃん(偏見)。
      親コメント
  • by Anonymous Coward on 2020年01月23日 8時21分 (#3749601)

    2年前は騙された奴がアホという風潮でしたね。

    JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる
    https://security.srad.jp/story/17/12/21/0459207/ [security.srad.jp]

    • by ciina (26410) on 2020年01月23日 14時58分 (#3749811) 日記

      見分けて当然なら一般向けのチェック用マニュアル作ってくれませんかね。
      1.送信元ドメインと本文の名義があっているか確認する
      2.リンク、添付ファイルは……
      とか
      (ネチケット思い出した。)

      親コメント
    • by Anonymous Coward

      いや、今でもアホはアホだろ。

      大企業になると金額が桁違いになるだけで

    • by Anonymous Coward

      99.99%見破っても、それ以上に来るからなあ。

  • by Anonymous Coward on 2020年01月23日 8時27分 (#3749603)

    届いてくるフィッシングメールって大概日本語が怪しい奴じゃん。
    完璧ではないけど8割くらいは防げるイメージ。
    それに文面が怪しいフィッシングメールに引っかかったら馬鹿扱いされる。

    文面で判断ってのはもちろん完璧ではないし技術的にはツッコみたくはなるが、されとてEV SSLですら判断基準にならないみたいな現状だと、ヒューリスティックな判断の積み重ねしかないよね。
    まぁそもそも信用できるサイトのリンク以外からリスクある所開くなって話ではあるが。
    そうなるとじゃぁGoogleは信用できるのかって話になる。

    • by Anonymous Coward on 2020年01月23日 9時14分 (#3749627)

      >届いてくるフィッシングメールって大概日本語が怪しい奴じゃん。

      こういう人が多いと詐欺も捗る

      親コメント
    • by Anonymous Coward on 2020年01月23日 9時11分 (#3749622)

      > 届いてくるフィッシングメールって大概日本語が怪しい奴じゃん。

      > されとてEV SSLですら判断基準にならないみたいな現状だと、
      次の検索結果を表示しています: さりとて
      元の検索キーワード: されとて

      親コメント
    • by hecW (48656) on 2020年01月24日 21時05分 (#3750542)
      技術?の進化についていけないと大変ですよ

      アマゾン「やらせレビュー」の首謀者を直撃、楽天も餌食に
      2020年1月20日
      https://business.nikkei.com/atcl/gen/19/00087/011700016/?P=2

      >王:中国人がレビューを書いても不自然な日本語になることが多いので、
      >読み手が信用してくれません。レビュアーは日本人でないとダメです
      親コメント
    • by Anonymous Coward

      日本語の怪しい奴は囮で、それを繰り返したあと本物っぽいものが送られてくるのです。

    • by Anonymous Coward

      ECサイトを名乗る様なのは多分そのECサイトの出したメールをテンプレにしているので、
      日本語云々言っているとコロっと騙されるよ。

    • by Anonymous Coward

      > そうなるとじゃぁGoogleは信用できるのかって話になる。

      うん、だからGoogleを信用できない人たちはDuckDuckGoとかを使うんだよ。

    • by Anonymous Coward
      フィルタリングが出来る
    • by Anonymous Coward

      届いてくるフィッシングメールって大概日本語が怪しい奴じゃん。
      完璧ではないけど8割くらいは防げるイメージ。

      スラドでそんなこと言っても説得力が・・・

      • by Anonymous Coward

        スラドがフィッシングサイトなのに気づいてないんですか?

        • by Anonymous Coward

          スラドはフェンシングサイトだと思っていました。

          言葉と言葉でチャンチャンバラバラ

  • by Anonymous Coward on 2020年01月23日 9時35分 (#3749644)

    From: には適当に何でも書けるはずだけど、大抵は

    From:Apple<apple_support@hogehogehogehoge.com>

    のように、メーラーによっては一瞬で偽物と分かるように書いてるようだ。
    ここを偽装しない理由がよく分からない。

    メールサーバーに弾かれないようにするためかしら。
    それとも、スマホの表示ならアドレスが表示されないので騙す必要がないのかしら。

    •  個人的に最近よく見かけるのは、Fromが受信メールアドレスになっているパターン。中身はだいたいセキュリティ警告に見せかけたフィッシングメール。
       迷惑メールフィルタに引っかからないためにそんな偽装をしているんだろうなぁ。実際ちょくちょくすり抜けてくるので、フィルタ回避には有効な手段なんだろうと思う。
       まあ、自分で自分に送った覚えもないのにそんなアドレスから届いてる時点で無条件に迷惑メール通報対象なんだけどな。

      親コメント
    • SPFが有効に効いているからなのでは?

      親コメント
    • by Anonymous Coward

      アドレスも表示されるメーラーで一瞬で怪しく思われるのはメールアドレスのない方。
      メールアドレスが書かれていればその内容を見ないと「偽物とわかる」なんてことはない

    • by Anonymous Coward

      今はSPF、DKIM、DMARCなどで、送信元・送信者をチェックする機能がついてるから
      偽装で送ると、そもそも相手のメールサーバーに拒否されたり、迷惑メールフォルダに直行したりする。

      まぁSPFは普及してるけど、DKIM、DMARCはまだまだではある。

  • 自分が詐欺メールを普通に見破っているのは、
    ・来るはずがないところ(アカウントを持ってないサイト)から来た
    ・そもそも送信元が偽者(メーラーの目視で確認できる程度)
    ・まともなメールが来るのは関わりのあるところ、先程何らかの手続きを行ったところだけ。と注意する程度にメールを使っている。
    ・あるかなきかの技術知識と情報で、「嘘」が判別できる。

    ...といった前提条件があるから。
    79歳の母にそれができるか否か、甚だ心許ない。

    • by Anonymous Coward

      書いている自分自身が20年後にできるかどうかも甚だ心許ない、という点も留意したい。

      人によっては20年どころか10年という人もいるはず。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...