オバマ氏のセックステープなどない:なぜ人々は勘違いするのか?
オバマ氏のセックステープなどない:なぜ人々は勘違いするのか:ZDNet Japanより
実際には、コンピュータのセキュリティはどんどん向上してきている。しかし、ユーザー教育の方はうまくいっておらず、現実には品のないスパムの文句がマルウェアの普及に繋がっている。
オバマ氏のセックステープは存在しない。Angelina Jolie氏の唇も爆発しない。ブッシュ大統領は、「イラク戦争は楽しかった」とは思っていない。このコラムの読者は、これらのメッセージはスパムメッセージの中身を読ませるための宣伝文句に過ぎないことを分かってくれてるだろう。しかし、インターネット上の何百万人もの人たちが、これらの品のない見出しを本当だと思いこみ、電子メールに書かれている、それらやその他のスキャンダルの証拠の動画や写真へのリンク(と書かれているもの)をたどっている。そういう人たちはマルウェアを押しつけられ、彼らのシステムがインターネット上に存在する多くのボットネットの新たな要素になる。
過去1週間に、AppleとMicrosoftの両方が重大なセキュリティ上の脆弱性に対するパッチを公表したが、マルウェアの作者はそのような脆弱性ではなく、エンドユーザーとの共犯によって攻撃を続けている。
ソフトウェアは低いコストで修正できるが、人間の弱さはそうはいかないというのが、悲しい真実だ。ソフトウェアセキュリティは、エンジニアリングプロセス、開発者の教育、パッチ管理、コード分析ツールなどが改善してきているのに伴い、着実に向上している。しかし、情報セキュリティに対する認識の甘さがゆっくりと増しているために、ユーザー教育の効果はほとんど上がっていないというのが現状だ。
迷惑メール、もの凄い数が届きます。私の場合「肝心なメール」が度々埋もれることがあり、大きな問題でもあります。
ありがちなタイトルの件名で送られるメールは、中身を見るまでわかりません。なので、自分が送る場合は、タイトルが長くなっても、本文の一部である「重要」な部分を入れるようにしています。
でなければ、ありがちなメールタイトルになり、それに返信してくれたメールの件名にも「Re:」以外は、埋もれる件名になってしまいます。こんなとこにも、相手に対する配慮みたいなものがあると思っています。
例えは悪いかもしれませんが、メールを開くって行為を起こさせるには、「ん?なんだ?」とか、「ウソ?」と思うようなタイトルつけないと、開けないですよね。
本屋さんで本を見るにも、平積みしてなければ、背表紙のタイトルを見てはじめて”手に取る”ことで、中を見ることが出来ます。手に取らなければ、中身を見ることもないのです。 短い本のタイトルの中に連想させる文字を入れ込むことは、容易なことではないと思います。
このメールのように品のないタイトルでも、開かせるための「努力」を感じ、ここから学べることって多くあるのでは?と思っています。インターネット時代になり、あり得ないことが、あったりするという「期待」とか「もしかしたら・・・」と。それも自分で見てみない限り、判断のしようもないのです。
人は「そもそも間違いをする」のです。間違いをするってことは悪いことではありません。もちろん間違えないほうが良いのですが、してしまう以上は回避できないのです。
「間違いをしてしまうこと」は普通に発生し、誰でもしてしまう。との認識をしっかりと持つしかない!と考えます。
迷惑メールを開くことは、クリックさえすれば、誰にでも簡単にできます。
あやしいメールは開かない!と、聞いたことも、しないほうがよいことも、知っているのです。情報セキュリティ標語でも書いています。
しかし。。。興味をそそられるような・・・中身を見てからでも大丈夫だろう・・・一度くらいならば・・・開けるための「大義名分」を考えつつ、同時にクリックをしてる。これが現実です。
例えば、「ホワイトハウス」のサイトに存在しないリンクアドレスをメールに書き、皆がそれをクリックすれば・・・「ページはありません」 のメッセージが出たとしても、そのクリック側は、世界中に散らばってますが、クリックされた「ホワイトハウス」側は、もの凄い数の接続になります。DDOS(分散型サービス不能攻撃)と変わらないのです。
youtubeを偽ったサイトを作れるものまで出てきました。目的はウィルスの配布です。もう何をもって、大丈夫?と判断すれば良いのかわからないです。
もしも自分が、この攻撃する側にいたとすれば・・・何をどのように狙いますか?
この攻撃側の視点を持つことが、間違いを少なくする1つの方法でもあると考えます。
現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?
技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。
一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。