セキュリティにおいて「これにだけ気をつければ良い」という台詞は全て嘘である。

「良い攻撃」とは、「これにだけ気をつければ良い」という、その「これ」の外にある攻撃だ。

フィッシング詐欺とは、ユーザーを偽のサイトに誘導してパスワードやクレジットカード情報などを入力させ盗む詐欺。その具体的手段として考案されてきたのは

• 本物ソックリのHTML・画像を用意する
• ステータスバー偽造
• HTTPS鍵マークの偽造
• SSL証明書の偽造
• アドレスバー偽装

などなど。そして、その後に続く「DNSポイゾニング」という攻撃方法・・・は技術的な観点からはあまり評価されていない・・・を当サイトは評価します。DNSポイゾニングは、フィッシング詐欺を「DNSポイゾニング以前」「以後」に分断したと言っても良い。

それが良いことかどうかは別として、パスワードなどを扱う全てのサイトがHTTPSを利用しているかと言えば答えは「NO」だ。だから例えば「鍵マークが外れているときは何も情報を入力してはならない」という対策は「これだけ気をつければ良い」にはなり得ない。「HTTPSを使っていたはずのサイトで鍵マークが外れているときは」という条件は初心者にとって分かりやすいか？「HTMLメール」「JavaScript」といったキーワードもその範疇にあり、「ブラウザのJavaScript設定は常にオフで必要に応じてオンにする」なんてことを初心者に求めるなら、そもそもその「必要に応じて」を判断することに必要な知識を与えることから始めないといけない。

目的のために最も簡単な手段を選ぶことが「攻撃」の基礎であるならば、その「手段」には一対一対応の「対策」が存在する（ことが多い）。そしてそれが一対一対応に過ぎないが故に、ある「目的」を封じるためには多数の対策が必要となり、冒頭に戻る。即ち、「これにだけ気をつければ良い」という対策が求められる。全ての手段を覆い隠すように防ぐ対策。そしてそれは多くの場合「存在してしまう」んだ。

フィッシング詐欺に関して言うと、僕はDNSポイゾニング以前は以下の「対策」を推奨していた。

メール内のリンクは一切信用しない。URLを手入力するか、ユーザー登録時に届いたメール・登録したブックマークなどを利用せよ（検索エンジンを過信するな）。

つまるところ、別にHTTPSだろうがアドレスバー偽装だろうが、「DNSポイゾニング以前」のフィッシング詐欺において全ての攻撃手段は

1. 相手側が用意したリンクなどを使ってサイトにアクセスする
2. ブラウザ内の各種表示により「それが正しいサイトである」と誤解させられる

というように「アクセス先URLをユーザーに誤解させる」仕組みで行われていた。故に

1. 相手の求めに応じてサイトへのアクセスを行う
2. 相手が用意したリンクなどではなく、自分が用意している方法を使ってサイトにアクセスする

という方法を取ればいい。雑誌などに掲載されている「確実に本物なURL」を手入力すれば良いし、ユーザー登録時などに登録したブックマークを使えば良い。正しいURLにアクセスすれば、そこは正しいサイトだった。DNSポイゾニング以前は。

DNSポイゾニングとは、簡潔に書くと下図のような仕組みの攻撃です。普段「www.tokix.net」といったホスト名に対してアクセスする時も、内部処理ではIPアドレスベースの接続が行われている。ホスト名とIPアドレスを対応させているDNSサーバーを攻撃して情報を書き換えることでユーザーを偽のサイトに誘導する、と。

DNSポイゾニングに対して使われる形容詞って多くの場合「強引な」とか「大胆な」とかそういう感じで、HTTPSやSSLの偽装のような「手の込んだ」「高度な」攻撃と比べるとDNSポイゾニングって一般的に評価が低いと思うのです。なのですが、まぁ「僕の場合だけ」かもしれないですが、DNSポイゾニングは「全ての手段を覆い隠すように防ぐ対策」の外にあった。URLを手入力しようが安全なブックマークを使おうが、DNSやhostsファイル自体を書き換えられていれば意味がない。アクセス先URL（ホスト名）は間違いなく本物サイト（なのにフィッシングサイトのIPアドレスであり実際接続している相手はフィッシングサイト）なのだから。

「良い攻撃」とは「これにだけ気をつければ良い」という、その「これ」の外にある攻撃であり、当サイトはDNSポイゾニングを評価します。「攻撃」とは必ずしも（例えばHTTPSとか）セキュリティヲタ知識の延長線にある物ではない。「良い攻撃」とは必ずしも「強固な壁に高度な技術で穴を空ける攻撃」ではない。