Troy Hunt氏ブログの要約「人間はURLが苦手」

マイクロソフトの豪州リージョナル・セキュリティディレクターTroy Hunt氏が、「人間はURLが苦手、フォントも無関係」というブログを書いていたので、以下要約。

フィッシングメールに引っかかったユーザーを責めるのは間違い。URLのドメインが読める人でさえ間違いを犯す。例えばこれ。

フィッシングサイトの可能性が高いのはどれでしょうか。

正解は3。フォントをSerifにすると大文字のIが入っているのが分かる。

じゃあURLを全部小文字に正規化すればフィッシングは防げる、というのも間違。紛らわしいURLで警告を出す案も間違い。googie[.]comというサイトは実在し、紛らわしいサイト扱いされた方はとんだ迷惑。

英字の「a」とキリル文字の「а」などのいわゆるホモグラフも、最終的にPunycodeに変換されてもブラウザによって処理が違い、見分けられないユーザーを責めるのは間違い。

そもそもURLを見てユーザーに正しいサイトかどうか判断させる発想が間違い。Googleブログの正しいURLが以下のうちどれか分かる?

blog.google
google.blog
googleblog.com
googleblog.google

正解はblog.google。分からんわな。

だからといって、誰もがフィッシングサイトを見分けられるような標準を作ればいい、という理想論もダメ。例えば学際的な専門家を集めて検討チームを作るとか。

そんなのは最終的にGoogle Chromeの開発チームがフィッシング対策を考えるのと大差なくなるだけ。

じゃあ正規サイトに商標のアイコンなどを表示するのはどうかと言えば、EV証明書の誤りをくり返すだけ。これがフィッシング防止にいかに役に立たなかったかは歴史が証明している。

すべてのユーザーがURLから正しいサイトを見分けられる世界なんて、まったく非現実的。数十億のユーザーを教育して、URLの微妙な違いを理解させるなんてアイデアは解決法でも何でもない。

じゃあ正解は何か?

例えばパスワードマネージャーを使うのは一つの方法。偽ドメインにはパスワードは入力されない。また、VPNソフトには不正ドメインへ接続させない機能をもつものもある。また、フィッシングサイトを警告するブラウザを常に最新バージョンにする方法もある。

ユーザーを教育するならし続ければいい。あらゆる方法で。でも、いちばん精通しているインターネットユーザーでさえ、最終的にはURLを読むのが苦手なわけで。僕みたいにね。(“Keep educating people, by all means, but expect even the savviest internet users will ultimately be as bad at reading URLs as I am”)

以上が要約。

個人的に要点を2段落でまとめると・・・

数十億のインターネットユーザーを教育するなんて非現実的な考えはやめて、まずはOS、ブラウザを常に最新のものにするという、今までどおりの啓蒙をつづけること。

そして、ウイルス対策ソフトや、パスワードマネージャー、VPNクライアント、ブラウザの補助機能など、不正サイトを自動的にブロックしてくれると同時に他のセキュリティ対策にもなるツールを普及させるのが現実的、ということ。

Troy Hunt氏のブログは皮肉や反語が多く、理解するのに苦労するので、上記の要約に間違いがあればご指摘ください。