あいつらは一体何を考えてるんだ?

セキュリティ機能を宣伝するクレジットカード会社からのメールに、その機能へのリンクが埋め込まれていた――こいつらはフィッシングのことを聞いたことがないのか?

» 2005年07月06日 19時31分 公開
[Larry Loeb,eWEEK]
eWEEK

 時折、仕事ができるはずと思っている人たちに大いに困らされることがある。その最新の例は、ミドルクラスに破産をもたらす者、つまりクレジットカード会社に関係している。

 業界ではかなり大手のクレジットカード会社が先日、その無知ぶりに開いた口がふさがらないほどの電子メールを寄越してきた。そのメールは、カード会社が推進しているセキュリティ機能――オンライン用の一度きりのカード番号――を紹介するメッセージだと称していた。そのメール自体は、不快感もなく要領を得たものだった。このような一時的な番号を使うようにと論拠を上げて主張し、「セキュリティ」という言葉を頻繁に使っていた。すべて問題ない。

 その後で、意外な結末がやってきた。そのメールには、この「セキュリティ」機能を「有効にする」ためのリンクが埋め込まれていた。お客様がここをクリックすれば万事うまくいきます、だと。あごが床につくほど、口があんぐり開いてしまった。

 どうやったらこんな間抜けなことができるんだろうか? こいつらはフィッシングやスプーフィングのことを聞いたことがないのか? わたしが思いついたのは、悪党がこのメールを手に入れたら、天の恵みだと思うだろうということだけだ。そいつはこの正しい情報を含んだ、極めてリアルに見えるメールを、ボタンにリダイレクトリンクを埋め込んで大量に送信することができる。「お客様」――自分はセキュリティに詳しいと思っている――は、それに引っかかり、フィッシャーが欲しがるクレジットカード情報をくれてやることになる。

 それよりずっといいのは、顧客がクレジットカード会社に電話して、本当にカード所有者にメールを送ったのかを確認できるほど用心深い場合だ。非常に賢明な対応だ。カード会社は、このセキュリティ関連のメールを本当に送ったと答えるだろう。そこで顧客は、これは本物のクレジットカード会社からの本物のメールだと安心して、偽装されたリンクが含まれたボタンをクリックする。自分は悪党にだまされたりしない頭のいい人間なのだと自分に言い聞かせている間に、彼はフィッシャーに捕まってしまう。つまり、完全なカモになったのだ。

 ひどい事件につながる行動を取る愚かなユーザーを責めるのは簡単だ。しかし、「セキュリティ」を売り込む人間が、自分の行動が引き起こす思わぬ結果を完全に見落としていたら、独善的にユーザーのせいにすることなどできない。あまり謙虚ではないわたしの見解では、あのクレジットカード会社は、誰であれあのメールの送信を承認した人物を厳しく批判するべきだ。それも人前で責める方が望ましい。

 あの会社がユーザーを標的にするようなことをせずに、メールを送る方法はたくさんあっただろう。ユーザーに直接URLをブラウザに入力するよう指示することもできただろう。メインのWebサイトにアクセスするよう指示して、そこからユーザーを誘導することもできたはずだ。メールにリンクを埋め込む必要はなかった。あれは明らかに愚かな行為だった。高尚な言葉とは裏腹に、あの会社が物事をセキュアに運ぶ方法を分かっていないということを露呈してしまっている。

 こうした出来事は、演壇に上がってしゃべるだけの価値がある。そうすることで、もっと慎重になるべき人々のごう慢な行為を止められれば良いのだが。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ