オバマ氏のセックステープなどない:なぜ人々は勘違いするのか?

オバマ氏のセックステープなどない:なぜ人々は勘違いするのかZDNet Japanより

実際には、コンピュータのセキュリティはどんどん向上してきている。しかし、ユーザー教育の方はうまくいっておらず、現実には品のないスパムの文句がマルウェアの普及に繋がっている。 

オバマ氏のセックステープは存在しない。Angelina Jolie氏の唇も爆発しない。ブッシュ大統領は、「イラク戦争は楽しかった」とは思っていない。このコラムの読者は、これらのメッセージはスパムメッセージの中身を読ませるための宣伝文句に過ぎないことを分かってくれてるだろう。しかし、インターネット上の何百万人もの人たちが、これらの品のない見出しを本当だと思いこみ、電子メールに書かれている、それらやその他のスキャンダルの証拠の動画や写真へのリンク(と書かれているもの)をたどっている。そういう人たちはマルウェアを押しつけられ、彼らのシステムがインターネット上に存在する多くのボットネットの新たな要素になる。

過去1週間に、AppleとMicrosoftの両方が重大なセキュリティ上の脆弱性に対するパッチを公表したが、マルウェアの作者はそのような脆弱性ではなく、エンドユーザーとの共犯によって攻撃を続けている

ソフトウェアは低いコストで修正できるが、人間の弱さはそうはいかないというのが、悲しい真実だ。ソフトウェアセキュリティは、エンジニアリングプロセス、開発者の教育、パッチ管理、コード分析ツールなどが改善してきているのに伴い、着実に向上している。しかし、情報セキュリティに対する認識の甘さがゆっくりと増しているために、ユーザー教育の効果はほとんど上がっていないというのが現状だ。 

迷惑メール、もの凄い数が届きます。私の場合「肝心なメール」が度々埋もれることがあり、大きな問題でもあります。

ありがちなタイトルの件名で送られるメールは、中身を見るまでわかりません。なので、自分が送る場合は、タイトルが長くなっても、本文の一部である「重要」な部分を入れるようにしています。

でなければ、ありがちなメールタイトルになり、それに返信してくれたメールの件名にも「Re:」以外は、埋もれる件名になってしまいます。こんなとこにも、相手に対する配慮みたいなものがあると思っています。

例えは悪いかもしれませんが、メールを開くって行為を起こさせるには、「ん?なんだ?」とか、「ウソ?」と思うようなタイトルつけないと、開けないですよね。

本屋さんで本を見るにも、平積みしてなければ、背表紙のタイトルを見てはじめて”手に取る”ことで、中を見ることが出来ます。手に取らなければ、中身を見ることもないのです。 短い本のタイトルの中に連想させる文字を入れ込むことは、容易なことではないと思います。

このメールのように品のないタイトルでも、開かせるための「努力」を感じ、ここから学べることって多くあるのでは?と思っています。インターネット時代になり、あり得ないことが、あったりするという「期待」とか「もしかしたら・・・」と。それも自分で見てみない限り、判断のしようもないのです。

人は「そもそも間違いをする」のです。間違いをするってことは悪いことではありません。もちろん間違えないほうが良いのですが、してしまう以上は回避できないのです。

「間違いをしてしまうこと」は普通に発生し、誰でもしてしまう。との認識をしっかりと持つしかない!と考えます。

迷惑メールを開くことは、クリックさえすれば、誰にでも簡単にできます。

あやしいメールは開かない!と、聞いたことも、しないほうがよいことも、知っているのです。情報セキュリティ標語でも書いています。

しかし。。。興味をそそられるような・・・中身を見てからでも大丈夫だろう・・・一度くらいならば・・・開けるための「大義名分」を考えつつ、同時にクリックをしてる。これが現実です。

例えば、「ホワイトハウス」のサイトに存在しないリンクアドレスをメールに書き、皆がそれをクリックすれば・・・「ページはありません」 のメッセージが出たとしても、そのクリック側は、世界中に散らばってますが、クリックされた「ホワイトハウス」側は、もの凄い数の接続になります。DDOS(分散型サービス不能攻撃)と変わらないのです。

youtubeを偽ったサイトを作れるものまで出てきました。目的はウィルスの配布です。もう何をもって、大丈夫?と判断すれば良いのかわからないです。

もしも自分が、この攻撃する側にいたとすれば・・・何をどのように狙いますか?

この攻撃側の視点を持つことが、間違いを少なくする1つの方法でもあると考えます。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。