園田道夫「蔵出しセキュリティ」:添付ファイルにさよならを - 日経PC Online
まっちゃさんの処経由、園田先生の日経PC Online上でのブログ記事です。
……不覚にも「『これから送ります』メール」の例文に笑ってしまいましたヨ。
ちなみに「やまがた21さん」ってのはこの方の事……つーか当人も吹いているようですが(笑)。
---
マジメな話、メールの添付ファイルは開かない方がベターです。そもそも今のメールの仕組み上、送った人が確かにその人である事を確認する方法は特別なシステムを使わないと無理(※1)なので、知り合いに成りすますなんてカンタン^2だったりします。
あと同様にメール本文中のリンククリックも同じ……本気で犯罪を仕掛けようとする連中にとっては、攻撃用のドメイン取得や偽装ファイルダウンロードサービスの設置の手間なんて大した事じゃない(※2)ですから。
一番確実なのは対面形式でデータを受け渡す事……それが無理なら受け渡しする側・される側で予め「何処を使うか」「受け渡し手順はどうする?」などの取り決めをしてから、その取り決めに従った受け渡し以外はNG(添付ファイルは開かない、リンクはクリックしない)とするというのがベターでしょうね。
---
(※1)PGPやS/MIMEのような仕組みを使わないと、E-Mailのシステム単体だけでは身元保証は無理です。
(※2)1人で犯罪を企むならともかく、今のこの手の攻撃の場合、複数人が分担して事に当たるので、足が付きにくいですね。実際ココの情報を見ても、1年という非常に短いスパンで攻撃用のドメインが取得されている事が分かりますので。
まっちゃさんの処経由、園田先生の日経PC Online上でのブログ記事です。
……不覚にも「『これから送ります』メール」の例文に笑ってしまいましたヨ。
ちなみに「やまがた21さん」ってのはこの方の事……つーか当人も吹いているようですが(笑)。
---
マジメな話、メールの添付ファイルは開かない方がベターです。そもそも今のメールの仕組み上、送った人が確かにその人である事を確認する方法は特別なシステムを使わないと無理(※1)なので、知り合いに成りすますなんてカンタン^2だったりします。
あと同様にメール本文中のリンククリックも同じ……本気で犯罪を仕掛けようとする連中にとっては、攻撃用のドメイン取得や偽装ファイルダウンロードサービスの設置の手間なんて大した事じゃない(※2)ですから。
一番確実なのは対面形式でデータを受け渡す事……それが無理なら受け渡しする側・される側で予め「何処を使うか」「受け渡し手順はどうする?」などの取り決めをしてから、その取り決めに従った受け渡し以外はNG(添付ファイルは開かない、リンクはクリックしない)とするというのがベターでしょうね。
---
(※1)PGPやS/MIMEのような仕組みを使わないと、E-Mailのシステム単体だけでは身元保証は無理です。
(※2)1人で犯罪を企むならともかく、今のこの手の攻撃の場合、複数人が分担して事に当たるので、足が付きにくいですね。実際ココの情報を見ても、1年という非常に短いスパンで攻撃用のドメインが取得されている事が分かりますので。