IPAが率先する、標的型メールの判別方法が全く役に立たない件2016年版

【悲報】日本の公的機関は標的型メールを不自然さだけで判断する教育しているのが確定

高木浩光先生がフィッシングメールの誤用について取り上げてるようですが

以前、IPAが、標的型メールを不自然さから判断することを指南するという、嘘のような本当の話を書きました。

ところが、去年の4月1日に、～標的型サイバー攻撃メールの手口と対策～ の動画がYoutubeに公開されたというアナウンスがあったんですが、てっきりエイプリルフールだと思ってたら、ガチだったみたいです･ω･ （動画登録は3/30）

そのメール本当に信用してもいいんですか？ ～標的型サイバー攻撃メールの手口と対策～ - YouTube

ITリテラシーの高い人にはくどいかもしれないけど、IPAが公開した動画を元に突っ込み入れてみるよ。

・文面が不正確な日本語である場合には注意するように喚起している

・文面に簡体中国語が含まれていた場合注意するように喚起している。

一部の、分かり易いウィルス入りメールのケースであって、標的型攻撃で、日本に精通したライバル企業からの攻撃の場合まずありえないのでほとんど役に立たない。標的型メールではないけど、ウィルスメールの場合ひな形があるケースがあるので、文章をGoogleなどで検索してみると面白いことにないた方がまだ役立つ。

【ほぼ、常識レベルの対策】

・メールアドレスがフリーメールの場合に注意するように喚起している。

差出人は偽装可能であり、多くの標的型攻撃メールは偽装したり、紛らわしいアドレスを使用しているので、ほとんど役に立たない。メールヘッダの存在などをレクチャすべき。

【これも、ほぼ、常識レベルの対策】

・メールアドレスのドメインの食い違う場合に注意するように喚起している。

外資系企業や、最近の企業は com とco.jp 両方持っていることが多い。

なので、適正なメールである可能性が高い。

まず、そのドメインが、その企業のものであるかどうかを確認するように喚起するべきであって、視点がおかしい。

【ドメインが異なっている場合と言う点でなら正しいが、情報不足で誤り】

IPAの脆弱性学習ツールに脆弱性があると判明 - 窓の杜

そんな、IPAさんだからこそ、こんなこともやらかしてくれるんだと思いました（まる）

脆弱性対策情報ポータルサイト“JVN”は9日、脆弱性体験学習ツール「AppGoat」に複数の脆弱性が存在することを明らかにした。 　「AppGoat」は、独立行政法人情報処理推進機構（IPA）が無償で提供する脆弱性体験学習ツール。テーマごとに用意された演習問題に挑戦しながら、脆弱性の発見、プログラミング上の問題点の把握、対策の手法を対話的に学習できる。 　“JVN”が公表した脆弱性レポートによると、「AppGoat」のWebアプリケーション用学習ツールv3.0.0およびそれ以前のバージョンには、任意のコードが実行可能な脆弱性（JVN#71666779）、DNSリバインディングの脆弱性（JVN#87662835）、認証不備の脆弱性（JVN#88176589）、クロスサイトリクエストフォージェリの脆弱性（JVN#39008927）が存在するという。最悪の場合、任意のコードや意図しない処理が実行されてしまう恐れがある

|｡･ω･) 脆弱性体験ツールだから、脆弱性が本当に体験できるのは間違ってないと思う。

映像で知る情報セキュリティ ～映像コンテンツ一覧～：IPA 独立行政法人 情報処理推進機構