カテゴリ:
Nonセキュリティエンジニア向け
セキュリティ入門
Facebookでこの記事を載せたら思ったより反応が多かったのでブログでも。
どうやったら『なんか怪しそう』と思えるか。
 

普通のエンジニアだと説明できないそうです。
01.どうやったら初心者が『怪しい』と思えるか、引き返せるか
02.特別なソフトを使わない本当の公式サイトか確認する方法
03.万能で完全な手段はないこと

すべてを叶える万能策がこの世にないため答えは明確でもなく、ひとつでもないですが、
ここを読んでいる方は説明をご自身で短文でもいいので書いてみてから続きをお読みください。

※セキュリティが本職の人は話せないとアウトですよ~

01.どうやったら初心者が『怪しい』と思えるか、引き返せるか

これは2つ。
・「危険性」を知っていること。
・やってしまったときに『自分が損をする』感覚があること
前者はニュースとか実際に周囲で引っかかった人がどうなったか/どうなるかを見て知っていることであり、
後者は自分が引っかかったとき、金額や個人情報以外にも「悔しい」「恥ずかしい」を含めた、自身の損と考える。この両方。

つまり、ひっかかるやつは馬鹿だとか、対岸の火事の感覚だと
ニュースで知っててもそれじゃないからと気づけず、あるいは甘く見て進めてしまうため、ひっかかる。

周囲にきいたっていいし、検索したっていいわけで、
重要なのはいろいろな情報を自分ごとだと思えることだと思います。


02.特別なソフトを使わない本当の公式サイトか確認する方法

URLのドメイン、鍵名で確認、と単純なこたえを出したあなたはおしいです。「公式であるかをどうやって確認するか」という視点が抜けています。
httpsであるかないか、ドメインとか鍵名は似せた会社名で登録することができるため、見間違えで騙されますよ。

この場合の確認をする方法はドメインの登記を確認する、が手っ取り早いのではないかなと。
ドメインの登記には、担当者の氏名やメールアドレス、電話番号、所属、がのっているので、そこに載っている情報をさらに検索すると偽物かがわかります。

ドメイン登録の確認は用語で書くならWHOISです。
WHOISからさらに色々検索して出すのも面倒ですし、
簡単に確認するならこのサイトさんのツールを使わせていただくのが手っ取り早いと思います


IPアドレス住所確認


03.万能で完全な手段はないこと

ひとつの例として02で公式サイトだとわかったとして完全に安全とは言い切れません。
たとえば、

公式サイト側に問題がある(運営側に問題がある)
・サイト改ざんされて偽物に飛ばされてた、気づかないようにされてた
・中間者攻撃で巧妙化(情報が抜き放題、サイトも認証も「本物」にすることができる)
とか

使う側に問題がある
・メールなどニセのURLから入らせてそのURLを押した地点で情報を抜く準備がおわっている
とか

このように、
万能で完全な方法がないため、
扱う情報の重要さによってどこまで注意深く行動するかを決めるのです。
重要な情報ならば「石橋を叩き割る勢いで叩いていい」ですし、注意し過ぎで丁度よく、
申し訳なく思う必要はないと個人的には思います。


と、私の回答はこんなかんじです。

実際の行動によせて回答しているのも、もちろん意図がありまして、
「初心者」と想定している人がほしい回答は「じゃぁどうしたらいいの?」だと考えているからです。
答える先の人の想定が異なると『答える内容』『答え方』が変わってくるので、いろいろなひとがいろいろな回答を出せると思います。
というかセキュリティの人たちは(セキュリティに限らずコンサル領域の人は)
想定を含めて話し合って何個も出し合うことをしますが、正解を探すわけじゃないので、
ひとつの正解を出すエンジニアの人にとっては、とっつきにくいところでもあるみたいです。

エンジニアだけしかやっていない人からすると
ふわっと始めて軽く雑談程度にうけこたえして相槌してただけで、いつの間にか進め方や要件が固まってて要件書を出されたーとかいうアレです(笑)

正しいと言わないコンサルと、正しいか間違っているかのエンジニア、
人の発言に対してどちらがいいか悪いかの思考をむけてしまう時点でコンサル向いてないかなとは思いますが^^;
エンジニアとしても了見がせまくて技能低いし仕事が出来ない、いろんな人と関わる経験が浅い、と即時判断してますが…

相手によって質問への回答内容は変わるものですよと