First things first.

まず第一に

Check your e-mail.

メールをチェックしてみてください。

I got one.

1つだけだ

Fake Dylan at W.H.O.

W.H.O.のフェイク・ディラン

This is the WHO's real domain, right?

これがWHOの実在ドメインだよね？

W.H.O. dot I.N.T.

W.H.O.ドットI.N.T.

So Fake Dylan is a internet security researcher that I worked with to send all of our emails

フェイク・ディランはインターネット・セキュリティの研究者で、私たちのメールをすべて送信するために一緒に働いていました。

a bunch of fake messages.

偽のメッセージの束。

And he was able to send these messages from the real W.H.O. domain.

そして、彼は本物のW.H.O.ドメインからこれらのメッセージを送信することができました。

I'm going to say I'm coming to you from my new job in the World Health Organization.

世界保健機関での新しい仕事から来ていると言うことにします。

I spent all my money moving to Geneva, Switzerland.

スイスのジュネーブへの引越し費用を全て使ってしまいました。

Please, send me some bitcoin to tide me over?

ビットコインを送ってくれないか？

It might say “this is a joke” in our example here, but the more serious ones would be like,

ここでの例では「これは冗談です」と言うかもしれませんが、もっと真面目なものはこんな感じになります。

“there's an urgent new coronavirus warning from the W.H.O.”

"緊急に新しいコロナウイルスの警告がありました"

As the number of coronavirus cases increases, so too do Internet scams and hoaxes.

コロナウイルス事件が増えると、インターネット詐欺やデマも増えてきます。

Real-looking emails supposedly from the World Health Organization and CDC asking for money.

世界保健機関とCDCからの本物のような電子メールお金のために尋ねることになってる

These agencies do not ask for direct donations by e-mail.

これらの機関は、メールでの直接の寄付を求めていません。

If you click on a link or download an attachment from those e-mails, you could be giving hackers

これらの電子メールのリンクをクリックしたり、添付ファイルをダウンロードしたりすると、ハッカーに

your personal information.

お客様の個人情報をお預かりしています。

So what we're looking at here is domain spoofing and we're seeing it a lot with respect to

ここで見ているのは、ドメインのなりすましです。

the coronavirus in particular.

特にコロナウイルス

So this really has been totally unprecedented.

これは本当に前代未聞なんですね。

The teams have never seen anything like this in terms of a single lure, uniting all different

チームは、すべての異なるルアーを束ねて、単一のルアーという点では、これまでに見たことがないような

types of actors behind a single real pretext for people to do all kinds of things, whether

幇間

it's actually just steal their password, what we call credential phishing, whether it's

実際にはパスワードを盗むだけです クレデンシャル・フィッシングと 呼ばれているものです

install malware.

マルウェアをインストールします。

So this is just one example sent from what looks like the W.H.O. e-mail address, just

これはW.H.O.のメールアドレスのように見えるものから 送られてきた一例です

like the one that came to you.

あなたのところに来たような

Clearly it's trying to get you to download a specific file that they have sent.

明らかに彼らが送った特定のファイルをダウンロードさせようとしている。

And researchers at IBM found that that file contains malware that captures screenshots

そしてIBMの研究者は、そのファイルにスクリーンショットをキャプチャするマルウェアが含まれていることを発見しました。

and logs your keystrokes and steals usernames and passwords.

とあなたのキーストロークをログに記録し、ユーザ名とパスワードを盗みます。

Huh, “beware of criminals pretending to be W.H.O.”

"WHOになりすました犯罪者にご注意を"

The W.H.O. has actually published guidance on this and they are aware that this is happening.

W.H.O.は実際にこれについてのガイダンスを発表しており、このようなことが起きていることを認識しているとのことです。

But its top advice, its number one advice, is: “Verify the sender by checking their

しかし、そのトップのアドバイス、ナンバーワンのアドバイスは"送信者を確認するには、送信者の

email address.”

"メールアドレス"

We know that that's pretty easy to fake at this point.

この時点で簡単に捏造できるのはわかっている。

Wow.

うわー

I'm surprised they don't point that out because people might think that if it has a W.H.O.

W.H.O.があればと思う人もいるだろうから、指摘されないのが不思議だな。

dot I.N.T address, that means it's legitimate.

ドットI.N.T.アドレスは合法的なものです。

But really, it's a necessary but not sufficient condition.

しかし、本当に、必要な条件ではありますが、十分な条件ではありません。

Correct.

そうだな

Yeah.

そうだな

What I found super interesting was that we tried spoofing a bunch of domains, and only

超面白いと思ったのは、ドメインの束を偽装してみたところ、唯一

some of them went through to the inbox.

いくつかは受信箱に届いています。

The CDC and Vox emails didn't, but WHO and Whitehouse.gov emails did.

CDCとVoxのメールはなかったが、WHOとWhitehouse.govのメールはあった。

And I should say, it was only the Yahoo emails that we set up.

と、言うべきか、設定したのはヤフーメールだけでした。

The Gmail and Outlook emails both put them in spam.

GmailとOutlookのメールはどちらもスパムに入れています。

So I've been looking into this and it seems like the greater context around this is that

それでこれを調べてみたんですが、これを取り巻くより大きな文脈としては

when email was created back in the eighties, no one bothered to make any way to verify

80年代に電子メールが作られたときには、誰も確認する方法を作ろうとしませんでした。

that the sender is who they say they are.

差出人が自分の言う通りの人物であることを

Really it is the foundational technologies of the Internet being built with no security

本当にそれは、セキュリティなしで構築されているインターネットの基礎技術です。

in mind and no central database of who is who that gives rise to this problem.

心の中で、誰が誰であるかの中央データベースは、この問題を生じさせない。

And since then, there've been lots of attempts to sort of build this sort of verification

それ以来、この種の検証を構築しようとする 多くの試みが行われてきました

system.

システムを使用しています。

The problem is just that the participation is not as high as it should be.

問題は参加率が高くないことだけです。

So of make sense of this, it might help to think about another type of verification problem,

これを理解するには、別のタイプの検証問題を考えてみるのもいいかもしれません。

which is that society doesn't want teenagers to get into bars to buy alcohol.

10代の若者がバーに入ってお酒を買うことを社会が望んでいないということです。

To prevent that from happening, we need two things: We need a way to verify ages, which

それを防ぐためには、2つのことが必要です。年齢を確認する方法が必要です

is our ID system, and we need businesses to then check for IDs.

は当社のIDシステムであり、その上で事業者がIDを確認する必要があります。

Now, imagine if that ID system was voluntary.

さて、そのIDシステムが自発的なものだったとしたらと想像してみてください。

So you have a bunch of adults who might not bother to go get an ID.

わざわざIDを取りに行かないかもしれない大人たちがいるわけですね。

Then when they come to the bar, the business basically has a decision to make.

そして、彼らがバーに来たときには、基本的にビジネスは決断を迫られます。

Either they require IDs knowing full well that plenty of legitimate adults don't have

正当な大人の多くがIDを持っていないことを十分に知っていてIDを要求しているのか

one.

1つ。

Or, to avoid pissing people off, they just let them in and maybe they end up letting

というか、人を怒らせないようにするために、入れただけで、結局入れてしまうのかもしれません。

in some kids too.

子供たちの中にも

And probably every bar is going to make a slightly different decision.

そして、おそらくどのバーも少しずつ違う判断をすることになるでしょう。

That's kind of where we're at.

そんなところです。

With email authentication right now.

今すぐメール認証で

We have an I.D. system.

I.D.システムを導入しています。

It's called DMARC, but it's voluntary.

ＤＭＡＲＣといいますが、自主的なものです。

So if an e-mail comes in with my email address, joss@vox.com, the email service, whether that's

だから、私のメールアドレスでメールが来た場合、メールサービスは、[email protected]、それが何であろうと

Yahoo! or Outlook or G-mail, is going to check if that domain, Vox.com, has a DMARC record.

ヤフーやOutlookやGメールは、そのドメインであるVox.comがDMARCレコードを持っているかどうかを調べようとしています。

And we do!

そして、私たちはそうします！

Thankfully, Vox took the time to set up a DMARC record, which basically does three things:

ありがたいことに、Voxは時間をかけてDMARCレコードを立ち上げてくれたが、基本的には3つのことをしてくれる。

First, it says that the email has to come from a certain set of IP addresses that Vox

まず、メールはVoxの特定のIPアドレスのセットから来ていなければならないと書いてあります。

trusts.

信託のことです。

Second, it says that the email has to carry a unique signature that only Vox can create.

第二に、メールにはVoxだけが作成できるユニークな署名を入れなければならないと書いてあります。

And third, it says that if the email fails either of those two tests, then the email

第三に、この二つのテストのいずれかに失敗した場合、メールは

service receiving the email should reject it, should just throw it away so that it never

メールを受信するサービスは、それを拒否する必要があります、ちょうどそれが決してないようにそれを捨てる必要があります。

reaches anybody's inbox.

誰かの受信箱に届く

Because of that, my Vox e-mail address, your Vox e-mail address, we can't be easily impersonated.

そのため、私のVoxの電子メールアドレス、あなたのVoxの電子メールアドレス、私たちは簡単になりすますことはできません。

OK, so say an e-mail comes in from a domain that doesn't have a DMARC record or has set

OK, DMARCレコードを持っていないドメインからメールが来た場合や

their DMARC policy to something other than “reject,” that e-mail is going to have

DMARCのポリシーを「拒否」以外のものに変更した場合、そのメールは

a higher chance of getting through.

突破する確率が高い

Now, the e-mail providers all have spam filters.

今では、電子メールプロバイダはすべてスパムフィルタを搭載しています。

They have these algorithms that are looking through these emails to check and see if anything's

彼らはアルゴリズムを持っていて、これらの電子メールに目を通し、何かがないかどうかを確認しています。

fishy.

怪しい

But obviously that didn't stop Dylan's fake e-mail from getting into my Yahoo! inbox.

でも、明らかにディランの偽メールがヤフーの受信箱に入ってくるのを止められなかった。

I would guess that the W.H.O. does not have a strong DMARC policy set up, if they have

W.H.O.には強力なDMARCポリシーが設定されていないのではないかと推測します。

one at all.

一度も

OK, there's actually a way that we can double check this.

二重に確認する方法があるんだ

Oh, nice.

ああ、いいね。

It has this nice little green box that comes up.

この素敵な緑の箱が出てきます。

But this is the actual DMARC record.

しかし、これが実際のDMARCの記録です。

V equals DMARC1, P equals reject.

VはDMARC1に等しく、Pはリジェクトに等しい。

So this is telling us that our policy is, “reject this e-mail.”

このメールを拒否するのが 我々の方針だと言うことですね

And this is true, I think, of… yeah, the CDC as well.

これはCDCにも当てはまると思います

What about the White House?

ホワイトハウスは？

Yeah.

そうだな

Let me try the White House…

ホワイトハウスに行ってみようかな...

Huh.

はぁ。

OK.

いいわよ

So the White House has published a DMARC record, but if you look at it, P equals none, meaning

だからホワイトハウスはDMARCの記録を公開していますが、これを見るとPはnoneに等しく、意味は

that they are not telling email providers to reject e-mails that come from other IP

他のIPからのメールを拒否するようにメールプロバイダに指示しているわけではありません。

addresses or that generally are not from their approved domain senders.

アドレス、または一般的には承認されたドメインの送信者からではないアドレスを使用しています。

The weird thing about that…

奇妙なことに...

So this is their guidance on what all federal agencies are supposed to do.

これは連邦政府機関が何をすべきかの指針だ

“All agencies are required to, within one year after issuance of this directive, set

"すべての機関は、この指令の発行後1年以内に、以下の事項を設定することが求められています。

a DMARC policy of reject for all second level domains and mail-sending hosts.”

すべての第二レベルドメインとメール送信ホストに対して拒否のDMARCポリシーを設定しました。"

Wow.

うわー

So the White House is violating its own policy.

つまり、ホワイトハウスは独自の政策に違反しているということですね。

At the very least, they're acknowledging that a DMARC policy of reject is the strongest

最低でもDMARCのリジェクト政策が最強であることを認めている

protection.

を保護します。

And it is very clear that they are not using that protection.

そして、その保護を利用していないことがはっきりしています。

So now let's try the W.H.O.

それではW.H.O.を試してみましょう。

“Not protected against impersonation attacks!”

"なりすまし攻撃からは保護されていません！"

They have not published a DMARC record at all.

彼らはDMARCの記録を全く公表していない。

And I can understand.

そして、私は理解できます。

Like the W.H.O. has a lot on their hands right now.

W.H.O.のように、今、彼らの手には多くのものがある。

They're basically leading the global effort against this giant pandemic.

彼らは基本的にこの巨大なパンデミックに対する世界的な取り組みをリードしています。

But damn, it really seems like they should have done this.

しかし、くそ、本当にこれをやるべきだったと思う。

Yeah.

そうだな

And to be fair, it's not like the WHO is alone in this.

公平に見てもWHOだけがやってるわけじゃないしな

There's a report by ValiMail, that shows that less than 15 percent of domains with

ValiMailのレポートによると、15%未満のドメインで

DMARC have actually set their policy to reject spoofed emails or send them to spam.

DMARCは実際に、なりすましメールを拒否したり、スパムに送信するようにポリシーを設定しています。

There's kind of an incentive issue at play, which is that you publish the record to protect

ある種のインセンティブの問題があって 記録を公開して保護するという

other people from being phished.

他の人がフィッシングされるのを防ぐために

And the tradeoff there is that if you don't configure it properly, and it does take some

そのトレードオフは、適切に設定しなければ、それにはいくつかの

work to set up correctly, you risk some of your e-mails not being delivered.

正しく設定するために作業をすると、メールが届かないことがあります。

I think that the W.H.O. is in a tough spot right now because it is incredibly important

今、W.H.O.が大変なことになっていると思います。

in this moment that their e-mails get through.

彼らのメールが届くこの瞬間に

And also there's an increase in the risk that it's coming from a fake domain and that, you

また、偽のドメインから来ているというリスクも高まります。

know, maybe they have some more responsibility than they might have before in terms of protecting

守るという点では、以前よりも責任があるのかもしれません。

people from fake e-mails.

偽のメールから人々を

Hey, do it for us, because we're all, you know, vulnerable out here on the internet

俺たちのためにやってくれ 俺たちはみんなネット上で弱っているからな

looking for information.

情報を探しています。

Yeah.

そうだな

It is the sort of thing that every good citizen of the internet should do.

ネットの善良な市民なら誰もがやるべきことです。

But, you know, like eating your vegetables and working out every day, it's not something

でもね、毎日野菜を食べたり、運動したりと、何かと

that every organization does.

すべての組織が行っていることです。