  |
はてなキーワード:Phishingとは
ここの結論を先にいうと,神奈川県公立高等学校入学者選抜インターネット出願システムなんだからドメインは shutugan.pref.kanagawa.jp か shutugan.pref.kanagawa.lg.jp などの地域型JPドメインか属性型JPドメインを使う設定をするべきであった.
これは最近問題になっているいわゆる行政サイト使い捨てドメイン問題とも関連あるし,(1次ソースにするには怪しいとしても総合的にみると載っている情報は正しそうな)カナガクhttps://kanagaku.com/archives/69495 によれば,なんと shutsugankanagawa.jp shutsugan-kanagawa.jp nyuushi-kanagawa.jp の三つとも本番環境として使われているようなのであり( nyushi-kanagawa.jp は違う),その状況だけ見ても本物に混じって偽物がスパムやフィッシングを行っていてもほぼ見分けが付かないのである.
Googleから見ても,取得が容易なjpドメインで最近取得したドメイン,似たようなドメイン,似たようなメール,が送られてくるのである.ユーザの受信ボックス・迷惑メール・ゴミ箱に大量に届く懸念がある以上,ブロックするのが定石である.
仮にブロックせず受信ボックス・迷惑メール・ゴミ箱に届けた場合,大量送信によってユーザの使用量を圧迫し 15GB 到達すると,そのユーザは新規のメールを受信できなくなり本当に必要なメールを取りこぼす可能性がでてきてしまう(容量空ければ受信できなかったメールを受信し始めるわけではない).
なので,大量送信SPAM 判定したメールはできる限りブロックする選択が,Gmail にとってある意味最善手なのである.
なお,神奈川県は令和 4 年度までは @pref.kanagawa.jp をメールで使っていたが令和 4 年度以降から @pref.kanagawa.lg.jp に切り替えているので,ベストは shutugan.pref.kanagawa.lg.jp であったと思われる.
サブドメイン毎にドメインレピュレーションが分かれているためあまり深い意味はないが,少なくともpref.kanagawa.lg.jp は 2007/04/16 に登録され有効なドメインなので,新規登録に比べて信頼性が高いと判断される.
なお,kanagawa.jp とkanagawa.lg.jp の切り替えもいろいろと謎はあるが,それはまた別の問題.
※webページはkanagawa.jp の方だし他方 e-kanagawa.lg.jp なんてのもあり……ちなみに e-kanagawa.jp は株式会社つくばマルチメディア登録ドメインで行政は関係ない.
少なくとも動き始めにはDKIM / DMARC が設定されておらず,問題になってから設定し始めてもそれはSPAMを頑張る業者と行動様式が似るので無駄なあがきとなっている可能性が高い.
SPF は2006年,DKIM は2011年,DMARC は2016年に出てきた対SPAM技術である.DNS 弄ったりメールサーバー建てるような人でないならこれらの設定方法は知らなくてもしかたない.
だがそれらを生業としている側の人間なら, 2024 年現在, 13 年前に提案されたDKIM すらちゃんと設定できないというのは,iPhone 4 やInternet Explorer 9 向けの開発しかわかりませんとか,スマホアプリでLINE 聞いたことないというのを2024年に言っているのと同じレベルなのである.
そのぐらい前の時代に提案された迷惑メール対策・認証系の機能を未実装で本番環境動かすというのは,語弊のある誇張表現をするならWindows Update やapt upgrade を 13年間しないで通信を試みるようなもので,自殺行為に等しい.
もちろん,その通信を受ける側はこいつヤバいやつだってすぐわかるので,かなり辛口で評価することになり,ちょっとでもSPAM の雰囲気出してきたらブロックするのは定石.
そしてブロックされたSPAM 側はあの手この手でおかまいなしにSPAM 送ろうとするので似たような内容やドメインでしつこく送ろうとするので,似たようなものもどんどんブロックするのである.
なので初手でヤバいやつ認定されないのが極めて重要にもかかわらず,そこを怠っていたのである.
実際に,2024 年 1 月12 日時点の mail.shutsugankanagawa.jp はどうなっていたかというとDKIM 設定がないまま本番環境を動かしていたようである. https://archive.md/qykwX
ここで実際いろいろ正常化しても,それはSPAM業者があの手この手でなんとしてでもSPAM 送り届けようと頑張っている様子と一緒なので,ある意味無駄なあがきなのであるどころか,SPAM認定を加速させた可能性も否定できない.
Gmail もSPAM対 策は馬鹿じゃないので,送信ドメインを変えても文面があまり変わっていないならSPAM とするし,送信元のIP とかも見てSPAM とするので,AmazonSES 使いつづけたり新IP で何回も試行するとうまくいかないし,送信元信頼性の高い送信サーバーサービス経由で送れたりするようになっても,SPAM扱いされることもよくある.
ちょっと送信に成功しだしてまたいっぱい送り出してSPAM業者扱いされるのはやっていることがSPAM業者と同じことというか,その辺の今時のSPAM業者よりSPAM業者っぽい挙動をしているのである.
今でもたまにGoogle anti-SPAM/phishing 網をくぐり抜けてくるえきねっと のフィッシングメールもびっくりするほどであろう.
Gmailユーザーへの送信ガイドラインみたいな文章は,最近の DMARC騒動で見る人が多いこのページが一番詳しいhttps://support.google.com/a/answer/81126?hl=ja .今はその騒動に応じてかなり加筆されているが,このページは開発中はどうであったのだろうか.
まず開発スケジュールについては,この開発は神奈川県の調達情報によると,調達案件番号 0001450060020230089R業務名『神奈川県公立高等学校入学者選抜統合型WEB出願システム構築及び運用・保守業務委託』で間違いないと思われ,開札日が令和5年3月31日だからプロジェクトの始動はその後だろう.
※税金使途への意識高い県民はご存じの通り,ここから誰でも調べられる https://nyusatsu-joho.e-kanagawa.lg.jp/DENTYO/P6515_10
ちょうどその頃のWeb Archive がたまたまあって 2023/03/07 時点ではこうなっていたhttps://web.archive.org/web/20230307005024/https://support.google.com/a/answer/81126?hl=ja
冒頭では
重要: 2022 年11 月より、GoogleGmailアカウントにメールを送信する新規の送信者はSPF またはDKIM の設定が必須になりました。
とさらっとメールを送信する新規の送信者はSPF 「または」DKIM の設定が必須である一方,『ドメインのメール認証を設定する(必須)』の重要のところをよく読むと,
重要: 2022 年11 月より、個人用Gmailアカウントにメールを送信する新規の送信者は、SPF またはDKIM を設定する必要があります。Google では、新規の送信者から個人用Gmailアカウント宛てのメールをランダムにチェックして、認証されたメールであることを確認します。認証方法が一つも設定されていないメールは拒否されるか、迷惑メールに分類されます。この要件は、すでに送信者である場合は適用されません。ただし、組織のメールを保護し、今後の認証要件をサポートするために、必ずSPF とDKIM を設定することをおすすめします。
のようになっていて,「今後の認証要件をサポートするために、必ずSPF とDKIM を設定することをおすすめ」など,やんわりと新規の送信者は認証しっかり 必ずSPF とDKIM を設定することをおすすめ しているのである.
こういう書かれ方しても,個人のメールサーバーとかならSPF かDKIM どっちかで運用してみてドメインを駄目にしても笑い話になるけど,自治体で運用するシステムであえて,博打に挑戦する必要あるのだろうか.
まぁ本来発注側の要件定義書とかにちゃんとSPF /DKIM を設定することなどと書いておくべき案件だったかなとは思う(たぶん書かれていなかったんだろう).
とにかく今は全世界の3割弱がGmail と言われている中で,本当にGmail が謎仕様のブラックボックスで届かないことが多発していたら国内外もっと騒ぎになるのでGmail 側に今回の件で大きな瑕疵があったとはいいがたい.
設定不備およびその後の作業内容で地雷原を突き進んで自爆しているのだろう.
アホらしいけどアホに一番わかりやすくいえばGoogle Workspace /Gmail 同士ではIPメールサーバーのレピュテーションと無縁になれて,世界中の他の宛先にもだいたい問題なく送れるので,SPF /DKIM / DMARC の設定だけ気にすればよく,かなりシンプルなのである.
AmazonSES 使えていたんだからGoogle Workspace も不可ではないはず(ISMAPにGoogle Workspace もいるので,あとは要件しだいだけど).
今日は花金で午後暇になったのでざっと調べて書き出したけど,去年(おそらく最小限の修正などで運用するための発注) 3,600,000円 だったシステムを,今年は全面刷新して 138,600,000 円かけたわけだけど,ちょっとさすがに値段の割にお粗末な印象がある.
まぁ入札調書の開札日付が「平成」のままになっていたりしているの見ると教育委員会側も事務方スタッフが発注前から既に疲れてるんだろうなとも思うなど,ただそういう大人の事情はともかく受験生の心情を考えると,本来あるはずのない余計なストレスを掛ける結果に,大人の一員として恐縮してしまう.
一つ思うのはこれ「一般競争入札(技術審査型)」だけど本当にちゃんと技術審査したのかね?する能力あった?安い方に安易に決めてないだろうな??と,突っ込んでいった方が今後の神奈川県の教育環境のために遠からずなるかなと思ったけど,よく考えたら私は神奈川県民じゃなかったわ
とりあえず高木浩光の日記に書いてあったこれへの反論をよろしく
http://takagi-hiromitsu.jp/diary/20061007.html#p01
悪質な業者に「うちは警察へリンクさせてもらっている」などと利用されることが問題だとおっしゃるが、それはリンクを許諾制になんかしてるからそうなる。許可なくすることを禁止しているなどと掲示していれば、読者は、「リンクしているということは警察の許可をもらったのだろう」と思ってしまう。リンクしているからといってリンク先と関係があるわけではないことは、Web利用者全員に共通の常識としなければならない。
このことは近年情報技術犯罪として問題となっているphishingの被害を減らすためにも必要なことだ。県警が無断リンク禁止の考え方を広めれば、民間サイトへリンクした偽サイトが登場したときに、「許可を得ているはずだから信用できるサイトだ」と誤解する読者を増やすことに加担してしまう。信用の悪用を防ぐには、「他のサイトが当サイトへリンクしている場合があるが、それは当サイトと関係があることを意味するものではない」旨の注意書きをすればよいのだし、県警ハイテク犯罪対策室は、phishing防止のために、一般論としてその注意喚起をする立場にあるはずだ。
加えて、いくら無断リンクを禁止すると掲示したところで、悪人はいくらでも無視してリンクするのであり、禁止に何らの実効性はなく、他方で善良な市民が警察サイトを活用しようとしたときには、電話で許諾を得なくてはならないという著しい不便を強いられている。
長いので別の言い方をするけど。
「リンクは許可が有ってするべきだ。という認識が広まると「リンクしていること=許可済み・関係がある」という風に見せかけた詐欺に悪用されてしまう。だからリンクが有ったとしても、それは第三者が勝手に貼っているというリテラシーを広めた方が良い」
あと、個人的に嫌がらせコメントとか面白半分のウォッチは無礼だよねっていう指摘には同意する。ただ、それは「無断リンク禁止はマナーです」という脆弱な主張への、高木浩光のような正当なツッコミをやめさせる理由には成らない。
