ただのにっき

■ 「巧妙な標的型攻撃メールの例」は間違い探しクイズではない

ここしばらく日本年金機構からの個人情報流出で大騒ぎだけど、そのさなかに上原哲太郎さんがTwitterに投下した「標的型攻撃メールの例」に対して、例によって「こんなのひっかかる方が悪い」的なレスがついてるのを眺めて苦笑いをしたり。

怪しいメール開く方がアホだろ見たいな話が出回っているようなので、7年ほど前に私が受け取ったメールを晒しておきますね（一部隠してます）。これを「怪しい」って判断できる人は大したもんだと思います。今はもっと巧妙だし。 pic.twitter.com/SwKNkH4t9s

— 上原　哲太郎 (@tetsutalow) 2015, 6月 2

でも今日、この話題をかみさんと話して、そもそも前提条件が共有されていないのが原因らしいね、ということになった。140文字制限のTwitterではよくある話ではある*1。なるほどなるほど。

こういう情報を提示されると、人は「自分の観察力に対する挑戦」だと認識して対峙する。クイズにチャレンジする感じで。でもこれ、

• 自分が標的になっているわけではない
• あらかじめ「これは偽物ですよ」という正解が与えられている

というかなりぬる～い条件下の話なんだよね。解けて当然の低難易度クイズなので、わかったからといってドヤ顔されても困る。実際の標的型攻撃はこの逆で、

• 自分(の所属する組織)が標的になっている
• これが正規のメールか攻撃メールかはわからない*2

という状況下で発生するのだ。条件や文脈がぜんぜん違うし、だいたいクイズ気取りでみている人は自分が見破ったからといって組織の全員が見破れるとは限らないという点を見過ごしがちだ。「見ればわかる」と言ったところで、うっかり開いてしまう人はゼロにはならないし(ならないんですよ)、そういう人が萎縮して報告しないような空気になる方がよほど怖い(という話の続きは年金機構の情報流出を見てちょっと思ったことを読むとよい)。

なので、セキュリティ関係各位は標的型攻撃の例として「ちょっと隙のあるメール」を見せるの、やめた方がいいんじゃないかと思う。実際はほぼ隙のない巧妙極まりないメールが使われてるんだし*3、どうせ見せるなら「自分はぜったいだまされない」という根拠のない自信を打ち砕くくらい本当に見破れないクラスのヤツを出すべきなのではないかなぁ。