異常なリンクや疑わしい添付ファイル、文法・スペルミスなどを手がかりとしてフィッシングを見抜こうとする従来の考え方は、2024年の今では有害でしかない

「2004年にW3C標準としてURL分類とコンテンツラベリングを策定した際、私たちはウェブ上のフォルダやユーザーアカウントなどを分類・ラベルづけするという概念自体を発明したのです」とウォルシュは語る。「当時の共同開発者は現在、QRコードやバーコードに関するグローバル標準を担うGS1の標準化責任者で、2次元コードのURI構造を設計したばかりです」 「脅威インテリジェンス（過去のサイバー攻撃などの情報を分析し、将来の攻撃に備えるための知見）はフィッシング対策として根本的に欠陥があるのです」とウォルシュは断言する。「過去データに頼っても無意味なのです。新しいURLは意図的に既存のインテリジェンスを回避します。これこそサイバーセキュリティ最大の問題なのです」 ■誤認を招くセキュリティの「常識」 ウォルシュによれば、異常なリンクや疑わしい添付ファイル、文法・スペルミスなどを手がかりとしてフィッシングを見抜こうとする従来の考え方は、2024年の今では有害でしかない。彼は「そんな方法はもう通用しません。スペルミスを探すなんて2000年代の考え方で、よく練られたメッセージほど人は信用してしまいます。『不自然な送信元を疑え』とか『怪しい何かを探せ』などということ自体、結局のところ混乱を生むだけなのです」という。 さらに、フィッシングの主戦場がSMSやスマホへ移行している点も大きな問題だ。「2023年にはフィッシングサイトの83％がモバイルを標的にし、2024年にはSMSがモバイル上の主要な攻撃手段としてメールを上回ったのです」とウォルシュは述べる。 「大手通信キャリアの加入者をSMSフィッシングから守るためのネットワークベースのソリューションを持つ企業は1つもありません」とウォルシュは主張する。「MetaCertはそのソリューションを目指す唯一の企業で、欧州で効果を実証した後、現在は大手キャリアとの交渉段階にあります」