「そのWebサイトは本物か？」セキュアブレインがフィッシング詐欺対策システム

セキュアブレインは2005年春に、フィッシング詐欺を防止するためのシステム「PhishWall」を提供する計画だ。

[高橋睦美，ITmedia]

　「残念ながら、個人ががんばってフィッシング詐欺からの自衛を図るのは非常に難しい。何らかのシステム的対策が必要だ」――セキュアブレインは11月24日、フィッシング詐欺を防止するためのシステム「PhishWall」を2005年3月に出荷する方針を発表した。

　セキュアブレインは、今年10月に設立されたばかりの企業だ。シマンテックの社長を務めた成田明彦氏が率い、日本発のセキュリティソリューションの展開を狙っている。その最初の事業が、今年に入って深刻化しているフィッシング詐欺対策だ。

　フィッシング詐欺は、今年に入って数が増えているだけでなく、手口もどんどん高度化している（関連記事）。当初は、単純にURL入りのHTMLメールを送りつけ、偽のWebサイトに誘導してユーザーのクレジットカード番号などを盗み取るという手口が主流だったが、最近ではWebブラウザの脆弱性を悪用したり、JavaScriptや画像を駆使してそれらしきWebサイトを偽装したり、メールを介さず、検索サイトなどからの誘導を狙ったものまで登場した。将来的には、ウイルスやワームのように動作し、自らをばら撒きながらユーザーをだまそうと試みるフィッシングプログラムが登場しないとも限らない。

　このフィッシングによる被害を食い止めようと、電子メールの送信者認証やフィルタリング、ブラックリストに基づくURLフィルタリングといった対応策が登場している。

　しかし、「フィッシング詐欺サイトのライフサイクルは非常に短く5〜6日、実質的には数時間」（同社プリンシパルセキュリティアナリストの星澤裕二氏）ことから、リアルタイムでの対処が困難だ。送信者の詐称を防ぐSenderIDのような仕組みは、「身元を確認するだけであって、そのメールがフィッシングかどうかまでは見分けられない」（同氏）。詐欺師自身がこの仕組みを利用してしまえば、どうしようもない。

プラグインで本物のサーバかどうかを確認

　ここでセキュアブレインが提示するのは、一種のホワイトリスト方式に基づく解決策だ。少なくとも自分が頻繁に利用したり、あらかじめ登録しておくWebサイトについては偽装を見破り、「安心してオンラインショッピングを利用できる環境を実現」（同社テクニカルディレクターの田島久行氏）するという。

　それを実現するのがPhishWallで、WebサーバとWebブラウザの双方に専用モジュールを導入して利用する。ユーザーはあらかじめ、自分が利用するPhishWall対応のWebサイトを登録し、そのことを示すデータ（＝パッケージ）をWebサーバ側に渡しておく。その後当該サイトにアクセスするたびに、Webブラウザのプラグインを通じてパッケージの内容を確認し、正式なWebサイトであることを確認する仕組みだ。この情報のやり取りは、公開鍵暗号方式を組み合わせた独自の認証技術に基づいて行われる。

PhishWallの仕組み。Man-in-the-Middle攻撃への対処も考えているという

　確認作業の結果真正のWebサイトであると判断すれば、ツールバー形式のプラグインモジュールには「青信号」が、またパッケージ情報を得られなかった場合は偽装サイトと判断し「赤信号」がそれぞれ表示される。

PhishWallのデモの模様。アクセスしたサイトからパッケージの情報を取得できなかった場合、ツールバーの信号が「赤」になる

　仕組み上、初めてアクセスするWebサイトやPhishWallを導入していないサイトについて、怪しいものかそうでないかを判別するのは困難だ。だが最低限でも、自分が頻繁に利用するWebサイトを悪用してのフィッシングには気づくことができる。発信元IPアドレスに基づく「サーバの所在国」表示も、詐欺を見破る一助になるという。

　非常に手の込んだ詐欺師ならば、PhishWallを導入したうえでフィッシング詐欺を仕掛けることも考えられなくはない。そこで、PKIにおける電子証明書発行の際と同様に、「導入先がきちんとした企業であるかどうかを確認する『認定』作業を行う」（田島氏）ことも検討しているという。

　先にイスラエルのiBIZ Softwareも同様のアプローチに基づくシステムを発表済みだが、セキュアブレインでは「より使いやすい仕組み」を目指す。

基本的な対策の上で

　PhishWallはエンドユーザーだけでなく、サービスを提供する側にもメリットをもたらすという。その1つが、ユーザーからの問い合わせへの対応をはじめとするフィッシング詐欺対策コストの削減だ。田島氏によると、たとえば今年フィッシング詐欺にたびたび悩まされたEarthLinkの場合など、1回のフィッシングあたり1200万円程度の対策コストを要していたという。

　PhishWallサーバ版のライセンス価格は、5万ユーザー規模の場合で1ユーザーあたり年額600円から。クライアント用のプラグインソフトは、Webサイトからのダウンロードやバンドルといった形で配布する計画だ。当初の対応環境は、サーバ版はWindows 2000 Server／Windows Server 2003、クライアント版はWindows 98 SE以降とInternet Explorerの組み合わせだ。その他のWebブラウザへの対応は、次のバージョン以降で計画している。

　もちろん、この製品だけでフィッシング詐欺をすべて防げるとは同社も考えていない。そもそも、フィッシング詐欺に対する完全な対策など存在しない。

　「まずユーザー各々のセキュリティ意識向上を図り、パッチをきちんと適用する、不審な電子メールのURLはクリックしない、URL表示をチェックするといった基本的な対策を踏まえたうえで」（星澤氏）、PhishWallのようなソリューションを組み合わせれば、威力を発揮するだろうという。

　なお米国ではAPWGやTECFといった業界全体での取り組みが始まりつつある。日本でも、たとえばフィッシングメールの情報収集と注意喚起、業界にまたがっての警告などに取り組む必要が生じつつあるのではないかとの見方に、星澤氏も同意している。