Hiromitsu Takagi

情報学環のこの最年少先生もトレンドマイクロもどちらもダメですな。https://twitter.com/HiromitsuTakagi/status/1192816682307391491…

すごいな。その違いを知っていても、安全なサイトかどうかは見分けられないということを自ら明らかにしておいて、自分はTLS(SSL)の説明したから、有益な情報共有をしたと言い切れるって……。まるで、本質を理解されておられない。まぁ、こんな言を採用する媒体も悪い。https://twitter.com/ohsaworks/status/1192708835795845120…

ふつうのひとは、東大の先生が「90% くらいは信用できる」と言ったら、「よっぽど運が悪くない限り大丈夫なのね」と認識すると思います。んで、現実にはまったく安全性の判断材料になりえないと指摘されて、「100% 安全とは断言してない」と言い訳するのは、ちょっと不誠実だと思います。

例の特任准教授の(意味のない)「フィッシングサイトの中のhttpsの割合と、httpsの中のフィッシングサイトの割合は異なります」の発言を受けてのものなので，私が言及したのは(http,httpsそれぞれの)全ウェブサイトのなかのフィッシングサイトの割合です．

そんなこと言ったらhttpの中のフィッシングサイトの割合はどうなん？ウェブサイト全体の中でフィッシングサイトの割合はそんなに多くないからあたったら運が悪いとか言うわけ？

この解説した専門家って誰かな？エンドユーザー向けの啓発活動もやってる身としては、誤った情報をばら撒かれるのはやめて欲しい。https://twitter.com/ozuma5119/status/1192433400335880193…

さらに言うとその下で「クレジットカード番号などが〜〜見られることはありません。」って言っているの、暗号化の説明としては間違いじゃ無いんだけど、SSL 使ってるフィッシングサイトに対しても出ちゃうの、ミスリーディングだろう。

実際「この接続は保護されています」っていう言い回し自体が良くないよねぇ。シンプルに「この接続は暗号化されています」にみたいになっていないのは何故だろう。セキュリティ界隈の用語的な問題？？

記事の方がまだ幾分ましで、番組内の発言だと「この接続は保護されています」(＝SSL) であれば 90% 安全と言っており、EV SSL とか関係無い。 しかも 10% はハッキングされいるケースとも言っていて、フィッシングサイトの 10% は本物の証明書であるという誤った印象を与えている。https://twitter.com/ozuma5119/status/1192434743930810368…

多くのセキュリティエンジニアが不備を指摘おり、私からも大澤氏に記事訂正・削除を要求していますが、「緊急性はない」との理由で先延ばしにしています。(フィッシング報告数・被害額が過去最悪ペースで増加する状況で「緊急性なし」と判断する理由が私には不明ですが...)https://twitter.com/MaihaiStyle/status/1192947641354637312…

まあ想像通りな方でむしろ安心したが。そしてこれも予想通りで「この接続は保護されています」という表示が緑色で表示されることもどうやら勘違いしている様子。それはただ証明書に妥当性があること、Webサイトにセキュリティ上の問題(脆弱な暗号、mixed content等)がないことを示しているだけ。

https://twitter.com/ozuma5119/status/1192434743930810368 … 東大最年少准教授「httpsなサイトは90%安全ｗｗｗ」 指摘『すでに多くのフィッシングサイトはhttps。不正確な注意喚起は被害を増やすだけだ』 東大最年少准教授「絶対安全とは言ってないのでセーフｗｗｗオレは正しいｗｗｗ」 専門家としても人としてもダメだこりゃ。

ご認識の通り、現在フィッシングサイトの半数以上はSSL/TLS対応を行っております。 p.11 「% of Phishing Attacks Hosted on HTTPS」 https://docs.apwg.org/reports/apwg_trends_report_q2_2019.pdf …https://twitter.com/IkaTanat/status/1192853584024485889…

今年度のフィッシング報告数は、毎月過去最悪を更新している状況であり、一般への対策周知は緊急の課題です。その中で、セキュリティエンジニアの多くが疑問を持つ今回記事への弁明を「再調査のために」延期ならまだしも、「緊急性はない」というのは理解できません。https://twitter.com/Ohsaworks/status/1192943473705373696…

月曜でもよいですか？そこまで緊急性のある案件ではないという理解です。

※准教授と東大の名誉のためにも、記事内や返信ではないツイート等「文書」の形で弁明されたほうがよいと思われます。お忙しいところ申し訳ございませんが、よろしくお願い致します。

おはようございます。お忙しいところ失礼致します。 昨日お話頂いた当ツイートの件ですが、大澤准教授の見解をお伺いしたいのですがよろしいでしょうか？https://twitter.com/Ohsaworks/status/1192718679537905664…

＞正当な認証局から信頼されている ちゃんと審査を通すOVやもっと厳格なEV証明書のことなら分かるよ でもLet's Encryptだとドメインとサーバーがあれば誰でも取得できるよね..？それって”信頼されている”って言えるの...?https://twitter.com/Ohsaworks/status/1192623569496199168…

「ドメインそのものが正しい事を確認した上で」と一言ついていればおかしくないんだけど、SSL証明書がvalidであるかどうかしか論点になってない様にしか聞こえない。

「鍵マークをクリックして表示される文字列が緑なら90%は安心」というのは確実に誤り。 20年前ならそういう事実はあったかもしれない。https://twitter.com/Ohsaworks/status/1192823902680047616…

そして90%信頼出来るとか言っちゃうとhttpsなフィッシングサイトに騙される人増えそうだな。

もしかしてDV証明書とか知らないのか？今どき、trustチェーン確認出来ない証明書なんかはブラウザで派手に警告が表示されてアクセスさせないようになっているのでわざわざ鍵マーククリックさせる意味もあんまりない。https://twitter.com/ohsaworks/status/1192623569496199168…

無料＆自動で「正当な認証局から」認証されるのが当たり前の現代においては現在の詐欺サイトでhttps対応してないところなんか無いんだから、安全である確率が高いという事実は存在し得ないんでないかな。 詐欺サイト管理者がLet's encryptを導入しないケースはほぼ無く、逆は普通にあるhttps://twitter.com/Ohsaworks/status/1192623569496199168…

この人は、「httpsのフィッシングサイトの方が既に多く、カギアイコンに何の意味もありません。」という指摘に何も答えていないように見える。緑か黒か赤かは、枝葉の話だと思うのだが…。https://twitter.com/Ohsaworks/status/1192624145642602497…

HTTPSを詐欺サイトの判断基準に入れてたAIの人、自分をセキュリティー専門と言い始めた。ええーhttps://twitter.com/Ohsaworks/status/1192624966744690688…

番組内では当初「"怪しいサイト"の見分け方」から「もっといい見抜き方がある」と鍵アイコンと暗号化の話になっていくのですけど、暗号化されていたら"怪しいサイト"でない可能性が高いという根拠をお聞きできますか？単に経験則でもいいので詳細にお願いします

ですから番組でもそう言ってます

httpsはクライアントとサーバー間の通信を暗号化し悪意ある第三者から守っているだけであって、サーバー側が悪意を持ってたら全く意味ないですよね。

（１）SSLの有無を確認したいなら錠前があればよい。錠前をクリックして緑色（の文字）まで確認しましょうという説明は誤り。（２）SSLはサイトの信頼性保証ではないため、偽サイトかどうかの判別方法としてSSLの有無の確認をアドバイスするのは、いかなる意味でも誤り。

「httpsのことを知っていれば、フィッシング詐欺に騙されにくい」っていうのは正しくないというか、論理飛躍ですよね。

つか、あの東大の先生の一番最悪な所は、折角気象庁がフィッシング詐欺に対して注意喚起してる所に、『90%安全です』なんていう謎の安全宣言出した事だよ。 本人にその自覚全く無いみたいだけど。