こういう組織の社会的ダイナミクスが、正しい人たちがその決定を下すための適切なポジションに上がるのを難しくしてる気がする。ほぼキャッチ-22状態だよね。良い効果的なポリシーを設定するには、たくさんの人に「ノー」と言わなきゃいけないことが多い。でも、昇進をコントロールしてる人たちの機嫌を損ねずにそれをするのは本当に難しい。

これらの企業は、CISOやEVP、SVP、たくさんのセキュリティディレクターがいるって書類上はなってるけど、実際にその経験がこういう決定につながるとは思えない。多くの状況で無能と悪意を区別するのは難しいけど、「ナイーブ」と呼ぶのは、顧客に敵対的な行動を間接的に許してるように思える。会社のサービスを安全に保つのは高くつくけど、安全じゃないことも高くつくから、理解できない。もしかしたら、顧客を失うことによる収益への影響が、正しくやるコストよりも低いから、心配しない方が安上がりなのかもしれない。それが本当なら、みんなにとって悲しい状態だよね。

以前、強力でよく管理されたセキュリティ文化を持つ金融サービス会社で働いてた。会社が買収された後、親会社の役員やグループからの様々なメールが第三者から届くようになった。買収された会社の私たちは、Slackでそのメールについて話し合った。メールは本物だと確信してたけど、対応するとセキュリティポリシーに違反するから、全員でフィッシングの試みとして報告することにした。悪意のあるコンプライアンスに関与しているのは理解してたけど、私たちの行動はベストプラクティスでもあったから、技術的には批判されることはなかった。しばらくすると、親会社の役員たちが事前に「これからこんなメールが来るから、こう対応してほしい」っていうメールを送ってくることがあった。当然、その事前のメールが本物かどうかの議論も始まった。しばらくして、私たちはこの悪意のあるコンプライアンスに興味を失い、買収した会社の緩いセキュリティ文化に染まっていった。

インドの銀行とそのウェブサイトは、世界で最悪の部類に入ると思う。多くの状況でフォームを印刷したり、SMSベースの2FAを使ったり、複数のパスワードを管理したり、時には異なる条件があったりするから…多くのインド人が支店に行く手間を選ぶのも無理はないよね。

15文字以上はダメなんて、すごいね！私の銀行は、正確に6桁の数字を求めてくるんだ。文字じゃなくて、数字ね。パスワードマネージャーにも敵対的で、コピー＆ペーストもできない。マウスで数字をクリックしなきゃいけない。「私のセキュリティ」がすごく大事だから、2段階認証を物理的なトークンから、スマホに紐づいたアプリに移行して、今はさらにSMSに進化させた！これ、近所の小さな銀行じゃなくて、フランスで一番か二番目に大きな銀行なんだよ。

数週間前、誰かがredditにインドの公営銀行のアプリがFirefoxをインストールしたユーザーに対して動作を拒否したというスクリーンショットを投稿して、大騒ぎになったことがあった。その銀行によると、それは「ユーザーデータを盗む可能性のある悪意のあるアプリ」だって。インドの銀行や多くの政府のウェブサイトは、ユーザーにとって非常に使いにくいものの一つだよね。昔は、これは主にテクノロジーに不慣れなユーザーを悪意のある行為者から守るためだと思ってたけど、銀行が安全でユーザーフレンドリーなウェブサイトを作るためのツールやフレームワークを使いたがらないことを考えると、意見が変わった。

あるインドの公的銀行のアプリは、カメラやフルファイルシステム、その他の重要な権限を与えないと全く動かないんだ。私の銀行からは、OPのようなスパムは一切来てない。でも、（少なくとも一般的な信念として）低レベルの従業員が定期的にアカウントの詳細を詐欺の電話に漏らしているようだ。

クライアント側のパスワードハッシング 俺の無知を許してほしいんだけど、これの何が問題なの？

そうそう、彼らは自分たちのルールを守ってないよ。一度、私が1ヶ月くらい前にリクエストした保険の変更について、銀行から電話がかかってきて、セキュリティトークンで本人確認を求められたんだ。で、詐欺にあった人たちが驚くって、どういうこと？

アプリをインストールしてるときに特にイライラする。アプリが詐欺の警告を出してくれたら、ランダムな電話よりずっと信頼できるのに。

これにちょっと付け加えると、もし銀行（あるいはeBayやAmazonなど）があなたに電話して、アカウントのハッキングが疑われるから2要素認証コードを送ると言ったら、そのコードを絶対に教えちゃダメだよ。こう言うと明らかに聞こえるけど、もしその詐欺に不慣れなら、そう、これは詐欺で、彼らはあなたの2FAトークンを手に入れようとしてるんだ。

彼らは手続きや番号をオンラインで公開すればよかったのに。私の経験では、企業はウェブ上で通知や記事を公開したり、サブドメインを設定したり、アプリを修正するのが高コストなプロジェクトだと判断したみたい。だから、コミュニケーションはnoreply@bank.comだけになっちゃう。

私のカードで詐欺検知システムが作動したのは一度だけで、その時銀行から「あなたのカードは不審な使用のためブロックされました。'番号'に電話してください」とテキストメッセージが来た。しかもその番号もランダムな非公開のものだった。無視しなかった理由は、半時間前に新しいウェブサイトで購入したから。地元の銀行に電話したら、これは本物だと確認してくれて、彼らのプロトコルがどれだけひどいかについて愚痴を言いそうになった。

銀行の通常の番号に電話して、誰かが出るまで何時間も待って、その番号が本物じゃないって言われるのは楽しいよね。しかも、それが使ってない銀行で、サイトに載ってる番号が自動応答システムに繋がって、アカウント番号がないとアクセスできないっていうのがさらに最悪。だから、誰かと話すために代わりの電話番号を探さなきゃいけない。

そうだね、全体のUXフローに取り組んでる人がいないんだと思う。私の銀行も同じような変なことをしてる。思い浮かぶ例は、妻に送金する時で、毎回、詐欺じゃないか確認するためにいくつかの質問に答えさせられるんだ。まあ、それはいいアイデアだと思うけど。一度確認すると、今度はそのアカウントに頻繁に送金してるから、確認や2FAコードを求めないっていう通知が表示される。なんでそうなってるのか考えると、全体の体験を担当してる人やグループがいないからだと思う。

これに関連する製品にちょっと関わったことがある。人間の電話をこの状況で置き換えるためのチャットボットだったんだ。ユーザーは銀行からチャットボットへのリンク付きのテキストを受け取る仕組みになってた。でも結局、売れなかったんだ。銀行側からの共通の不満は、ユーザーにああいうリンクを絶対にクリックしないように教育してたからってことだった。

銀行じゃないけど、Apple MailはPDFをインラインで表示するんだよね。最近、PayPalのビットコイン詐欺メールが来てて、Apple Mailで見ると見た目は legit なんだよ。問題は、俺はPayPalのアカウント持ってないってこと… GmailやThunderbirdだとPDFがそのまま表示されないし、送信者の表示も違うから、明らかに詐欺ってわかるんだよね。時々、企業が詐欺師を助けてるみたいに感じるし、なんでそうなるのか全然わからない。

これはカバーアップのための行動だって気づくと、もっと納得できるよね。正当な取引がブロックされた時は、「番号に電話しなかったのがユーザーのせいだ、ほら、こっちから電話してこの番号にかけるように言ったじゃん」って。フィッシングの場合は、「その番号に電話したのがユーザーのせいだ、ほら、うちのウェブサイトにはどの番号にも電話しちゃダメって書いてある」って。結局、アドバイスに従わなかったのは常にユーザーのせいなんだよね。世の中の多くのことがこんな感じだよ。

USAAでソフトウェアエンジニアの面接を受けたんだけど、面接官の無能さを見てからは、あの会社のやってる無駄なことには驚かなくなったよ。

ほぼそうだね。ITにはほとんど触れてないと思う。問題は、マーケティングがITと組織的に別れていて、関わりたくないってこと。ITは多分、遅い外注のチケットベースのプロセスに頼ってて、簡単なことでも数週間かかるんだよね。マーケティングが望んでないことについて、ITが勝手に意見を持ってることもあるし。だから、こういうプロモーションを作るのは、SaaSサービスや契約業者に任せられてて、彼らも企業のITとは関係ない。マーケティングの人たちはサブドメインが何かも知らないし、気にもしてない。だって、彼らがやることはGoogleで検索したり、リンクをクリックすることだけだから。アドレスバーなんて見ないし、いつも意味のないゴミでいっぱいだから、何が入ってるかなんて気にしないよね。フィッシング対策のトレーニングなんて、実際のインターネットの使い方を見たら意味がない。URLのテキストなんて見る人は少ないし、一番いいフィッシング対策のトレーニングは「Googleで探して、そこからリンクをクリックする」ってことだと思う。ドメイン名を注意深く調べて、思ってる組織が所有してるかどうかを直感で判断するなんて、全然意味がないよ。

さらに悪化するよ。ドイツの「スパーカッセン」は、小規模から中規模の信用組合なんだ。彼らはITなどのサービスを管理する大きな傘組織に属しているけど、各銀行は自分たちで何をどれだけ扱うかを選べる。中には大きくてしっかりしたところもあるけど、適切なITセキュリティの実践に必要な人材や専門知識がない小さなところもたくさんある。だけど、顧客は彼らを信頼してる。地域密着の銀行として位置づけているけど、実際はほとんどが無能で、高い手数料やパフォーマンスの悪い投資商品でぼったくられることが多い。

ランダムな電話で情報確認を求められたら、いつも「誰か分からないから個人情報は教えないよ」って返してる。半分はそのまま切られちゃうし、残りの半分はセールスの話を始めるんだよね。

うちの銀行もやっとこれを理解してくれて、今はアプリで営業担当者と話してるかどうか、そして具体的に誰なのかが確認できるようになってる。

医療関係ではこれがよくあるんだよね。専門のオフィスから電話が来て、いきなり生年月日を聞かれたことがあった。俺が「いや」って言った時の驚き方はすごかったよ。でも、君の言う通り、もし向こうから電話してきたなら、身分証明をしっかりしてほしいよね。

ある時、カスタマーサービスの人が「LinkedInを見れば、あなたがやり取りしている人が雇用主を載せているから、これは正当なものだよ」って言ったんだ。「そうなの？2分待って、俺のも同じになるから。じゃあ、君の個人情報教えてくれる？」

職場で受け取る毎週のニュースレターは、外部のスパム送信者から送られてきて、クリックを追跡するためのユニークIDが付いた外部ホスティングサイトへのリンクが含まれてる。Outlookがそのリンクを加工しちゃうから、識別が難しくなるんだ。会社のウェブサイトで、その外部送信者やホスティングサイトが正当に使われているか確認しようとしたけど、何も見つからなかったから、そのリンクはクリックしないことにしてる。実際、フィッシング詐欺として報告すべきだよね。