今回のせきゅぽろは、Yahoo JAPAN の戸田さん。テーマがフィッシング対策ということで、Web 周りのテクニカルな話題が中心かな、と思っていたのですが、もっと総合的な話でした。フィッシング詐欺が「かたる」ときの対象とされやすい、Yahoo 側での対策に限らず、Yahoo のセキュリティ対策全般の話が聞けました。

紹介されたフィッシング詐欺で送られてきた文面で、「HDD が 28 万」とか、「http で通信していることを確認」（https ではない）など、分かる人が見れば、すぐに変だ分かる文言とはいえ、一般の人がそこに気づけるか、となると、やっぱり難しいのが現実だと思います。

実際に逮捕に至ったフィッシング詐欺事件の例で、140 万通のメールを送って、2,700 人が引っかかった話が紹介されましたが、成功率は 0.2 % であっても、140 万通を送るコストが安いが故に、たった 0.2 % でも充分に稼げるというのが、この問題の難しさではないか、と思いました。啓蒙活動が重要なのは、オレオレ詐欺なども同じなんだけど、啓蒙活動だけで 0.2 % を 0 にするのは不可能でしょうし、地道につぶしていきながら、少しでもだまされる人が減るような工夫を積み重ねるしかないのだと思います。

個人的には、フィッシングの話よりも、Yahoo のインフラ運用周りの話で、自前で整備したパッケージ管理、配備システムの話が興味深かったです。

ヤフーにおけるパッケージ管理 - Yahoo! JAPAN Tech Blog

これ、オープンソースで公開して欲しいなぁ。まぁ、さすがに Yahoo 社内で使っているそのままの形で公開するのは無理だと思うし、そんな大規模なものを必要とするところも少ないと思うので、小中規模で使えるようなコアパッケージみたいなものを公開してもらえたらなぁ、と思います。

あと、入力値の Validation に使われる Yahoo 版のフィルタがある、という話がありました。

ヤフーのセキュリティに対する取り組みについて 第2回目 - Yahoo! JAPAN Tech Blog

で、これが公開されているような話がありました。ちょっと公開場所が見つからないのですが、以前、各種サービスのパスワードに関して調べた時に、Yahoo のパスワードで使える文字種が非常に多いのに関心しました。使える記号が多い、ということは、それだけ入力値の検証処理に自身がある、ということになります。入力文字列のエスケープに自身がなくて、文字種を絞ってしまうケースは少なくないと思います。この辺のノウハウが広く共有されるといいなぁ、と思いました。