2005年01月27日(木) 22時33分

さらに巧妙化、複雑化するフィッシング、その現状と対策は（MYCOM PC WEB）

銀行のWebサイトを偽装するなどして個人の口座番号や暗証番号などを盗もうとするフィッシング詐欺は、すでに国内でも実被害が確認されたほか、海外でも被害が拡大を続けている。フィッシング詐欺に対する業界団体「APWG(Anti-Phishing Working Group)」のPeter Cassidy事務局長は、「手口がより巧妙化、複雑化している」と警告、新たな手口による被害の拡大を懸念する。

APWGの観測では、フィッシング詐欺は着実に増加を続けている。11月に発見されたフィッシングサイトは1,707件で、7月以降、毎月平均24%の割合で増加をしている。標的とされるのは銀行などの金融機関で、12月には55社、2003年11月から累計で131社がフィッシングの標的となっているそうだ。

手口は、メールで顧客情報のアップデートが必要などと偽って偽サイトに誘導、個人情報を窃取しようとするソーシャルエンジニアリングの手法を使ったものが主流だ。この手法では、メールはHTMLメールで送られ、金融機関などのWebサイトで実際に使われている画像を流用、文面も本物らしく作られているほか、差出人メールアドレスも詐称されている。さらに本文中のURLは、一見すると実際の金融機関のURLに見えるが、URLに意味のない文字列を大量に挿入して、Webブラウザのステータスバーで確認しづらいようにしたうえで、偽サイトにリンクする仕組みを使うなど、あの手この手で受信者を信用させようとする。「これがフィッシングの大半の攻撃手法だ」(Cassidy氏)。

しかし、「フィッシング攻撃の手法が、予想より早く変化してきている」とCassidy氏。具体的には、ソーシャルエンジニアリングに加え、「ステルス型」の攻撃手法を加えた「ハイブリッド型」が登場してきているという。ソーシャルエンジニアリングに比べて、ユーザーの操作を必要としない攻撃がステルス型と呼ばれる手法だ。この手法では、Webブラウザの脆弱性やウイルスを利用するなどして、攻撃の効果を高め、個人情報の窃取を自動化しようとするなど、より高度で複雑化している、という。

たとえばハイブリッド型では、実際の銀行などのWebサイトを開いたブラウザの前面に、偽装したポップアップウィンドウを表示する、インスタントメッセンジャーを通じてサイトに誘導、トロイの木馬をダウンロードさせる、といった手法。ステルス型では、ウイルスの頒布や、IISなどのWebサーバをウイルスで書き換え、Webページに悪意のあるJavaScriptを挿入する、といった手法で、感染したユーザーのマシンにキーロガーを送り込み、自動的に口座番号やパスワードなどの情報を盗もうというもの。以前からウイルスなどによるキーロガーは問題視されていたが、Cassidy氏は、フィッシング詐欺グループが、銀行などの口座を狙ってウイルスを用いている点を問題視する。

実際、昨年10月にはブラジルでフィッシング詐欺グループ53人が逮捕、フィッシング用のトロイの木馬や従来の手法でインターネット銀行から預金などを窃取、日本円にして約86億円もの被害が出たともいわれている、とCassidy氏は語る。

ステルス型で利用されるウイルスの作成には、インターネット上に公開されている作成ツールを使ったものもあるが、ウイルス作者が協力している例もある、とCassidy氏。以前からウイルス作者が、金銭的な見返りを求めてスパムメールの送信に協力している、という指摘はあったが、フィッシング詐欺についても、ウイルス作者がフィッシング詐欺グループに雇われ、フィッシング詐欺用にカスタマイズしたウイルスを作られている例もあるという。Cassidy氏は、ロシアやルーマニアなどのウイルス作者でそれを確認しているそうだ。

拡大、巧妙化するフィッシングの対策はどうすればいいのか。「5年ほど前からフィッシング攻撃は登場しているが、急激に増えたのはここ最近」(Cassidy氏)であり、複数の手法を利用する複雑な攻撃のために、「特効薬はない」(Cassidy氏)のが現状。その中でも、対策としては「検知」「防止」「閉鎖」の3つの方法があるという。

「検知」では、金融機関などの狙われやすい企業のドメイン名と似たドメイン名の登録を監視したり、スパムフィルタリングをしたり、Webサーバのログをスキャンしたり、といった方法で、フィッシング攻撃を発見しようというもの。「防止」は、SecurID、Vascoなどの二要素認証の導入、ツールバーからフィッシングサイトのブラックリストを表示する、クロスサイトスクリプティングの脆弱性をなくす、Sender-ID、S/MIMEなどの導入によるEメール認証、といった対策。「閉鎖」は、フィッシングサイトに対して不良データを送ってダウンさせる、FBI/シークレットサービスに連絡するなどによってサイトを閉鎖に追い込むことを目的とする。

どれか一つの対策を行っただけで被害が防げる、というものではないが、そのほかにも、キャッシュカードに検証用ナンバーを用意して対策をする、フィッシング攻撃の前兆を検知して対策を行う、という手段で効果を上げている例もあるという。

そうした対策の一例として、セキュアブレインが開発する「PhishWall」がある。アクセスしたWebサイトが本物であるかどうかを検知するソフト。サイト側がPhishWallに対応する必要があるが、登録されているサイトであれば、フィッシングサイトがいかに本物のサイトをまねても、本物かどうかはPhishWallが自動的に判別してくれる。

このソフトの成功の鍵は、どれだけのサイトが登録するかにかかっている。現在、金融機関を中心に話し合いを進めており、3月の正式版公開時には10行程度の銀行を登録サイトとしていきたい考え。金融機関に対するセミナーも開催しており、今後も銀行や証券会社、オークションサイトなどの金銭取引が発生するサイトを運営する企業と協議するほか、成田明彦社長は、電子政府・電子自治体をにらみ、政府・自治体関連にも範囲を拡大していく意向も示している。

Cassidy氏は今回、セキュアブレインの招きで来日した。セキュアブレインは、前シマンテック社長の成田明彦氏が代表を務めるセキュリティ企業で、国内企業では唯一APWGのスポンサーとなっている。

取材画像はこちら
http://pcweb.mycom.co.jp/news/2005/01/27/001.html

ますます悪質になるフィッシング現状が明らかに - 金融機関にターゲット絞る
http://pcweb.mycom.co.jp/news/2005/01/24/006.html

【レポート】情報化社会に忍び寄る危険 - 産総研・高木浩光氏に聞く
http://pcweb.mycom.co.jp/articles/2005/01/01/takagi/

フィッシング詐欺で初の被害を確認、警察庁が対策を強化
http://pcweb.mycom.co.jp/news/2004/12/24/004.html

2004年下半期にフィッシングメール急増、スパム・ウイルスも減らず
http://pcweb.mycom.co.jp/news/2004/12/07/101.html

ターゲット絞ったフィッシングが増加 - 日本もホスティング国にランクイン
http://pcweb.mycom.co.jp/news/2004/11/26/009.html

元シマンテック社長のセキュアブレイン、初製品はフィッシング対策ソフト
http://pcweb.mycom.co.jp/news/2004/11/25/001.html

忍び寄るオンライン詐欺、もはや他人事でない、シマンテックが実態調査
http://pcweb.mycom.co.jp/news/2004/11/22/007.html

「入金お知らせ」メールに注意 - イーバンク銀行を騙るフィッシング詐欺
http://pcweb.mycom.co.jp/news/2004/11/01/009.html

メールの63%がスパム、背後にウイルス作者のカゲ
http://pcweb.mycom.co.jp/news/2004/08/18/101.html

セキュアブレイン
http://www.securebrain.co.jp/

http://headlines.yahoo.co.jp/hl?a=20050128-00000096-myc-sci