ニュース
» 2005年01月27日 20時37分 UPDATE

ユーザーの目から隠れようとするフィッシング詐欺

フィッシング撲滅を目指すAnti-Phishing Working Groupの事務局長を務めるピーター・キャシディ氏が来日。「ステルス型」フィッシング詐欺の危険性について警告した。

[高橋睦美,ITmedia]

 「フィッシング詐欺はますます高度化し、巧妙になってきている。依然として古典的ソーシャルエンジニアリング手法を用いてユーザーを騙すタイプが主流だが、最近はそれに、ユーザーにそれと気付かせない『ステルス型』手法を組み合わせたハイブリッド型の手口が増えてきている」――。

 1月27日、フィッシング撲滅を目指す業界団体、Anti-Phishing Working Group(APWG)の事務局長を務めるピーター・キャシディ氏が来日し、フィッシング詐欺の動向について説明を行った。先日APWGにスポンサーとして参加したセキュアブレインの招きによるものだ。

 メールやインスタントメッセンジャーなどで言葉巧みにユーザーを偽のWebサイトに誘導し、クレジットカード番号などの重要な情報を盗み取ろうとするフィッシング詐欺。米国のみならず日本国内においても発生が報告され、マスメディアでもその手口が紹介されるようになった。

 だがそうした注意喚起の裏をかくように、新たな手口が登場しつつある。ソーシャルエンジニアリング手法を駆使し、ユーザーを騙して自ら情報を入力させるやり方に代わり、知らないうちに端末に忍び込み、ユーザーの手を煩わせることなく自動的に情報を盗み出す「ステルス」型のフィッシング詐欺への移行が起こりつつあるとキャシディ氏は警告した。

 ステルス型フィッシング詐欺では、トロイの木馬やキーロガーを通じてユーザーの個人情報などを収集する。こうした不正なプログラムは、OSやWebブラウザの脆弱性、あるいはクロスサイトスクリプティングなどWebサイト側の脆弱性を突いて自動的にダウンロードされる場合もあれば、ソーシャルエンジニアリング手法と組み合わせ、「有用なプログラム」であるかのように見せかけてダウンロードさせる場合もある(関連記事)。いったんPCに潜んでしまえば、バックグラウンドでキーストロークなどを監視し、犯人の元へ重要なデータを送り込んでしまうという仕組みだ。ウイルスやワームなどと組み合わさって大量のPCに忍び込むことが特徴という。

 中には、悪意あるプログラムを通じてWindows PC上のhostsファイルを書き換えるものも存在する。この場合、「ユーザーはWebブラウザに直接正しいアドレスを打ち込んでいるため、本物のサイトにアクセスしていると疑いもしないのに、偽のサイトに誘導されてしまう」(キャシディ氏)。

 現に、こうしたステルス型フィッシングによる被害が報告され始めているという。その典型例がDownload.jectだ。これはMicrosoftのInternet Information Serverの脆弱性を突いてサーバの設定を書き換え、そのWebサーバにアクセスしてきたPCに悪意あるプログラムをダウンロードさせる。そしてこのプログラムが高性能なキーロガーをさらにダウンロードし、ユーザーが知らないうちに重要な情報を盗聴、転送する(関連記事)

 「今後のフィッシング詐欺の姿は明らかだ。つまり、ユーザーを介在させないステルス型が主流になる」(同氏)。

複数の手段を組み合わせて対処を

 単なる偽装メールにとどまらず、手を変え品を変えて高度化するフィッシング詐欺に対処するにはどうしたらいいのか。「これ一つで済むというような確実な方法はない。複数の手段を組み合わせて対処していく必要がある」とキャシディ氏は述べた。

 具体的には、まずフィッシングサイトが登場していないか、動向を監視し、電子メールに含まれる怪しげなURLをフィルタリングするなどして事前に防ぐ「検知」がある。また、何らかの理由でWebサイトから重要な情報を入力する際には、二要素認証やセキュアブレインが提供する「PhishWall」のような手段を用いて、Webサイトの身元を確かめる。伝統的フィッシング詐欺に用いられる電子メールについても、送信者認証などの手段を通じて身元(=送信者)を確認する。これが「防止」のステップだ。また事後の対応にはなるが、フィッシング詐欺の事実が確認されれば、ISPレベルで「閉鎖」に追い込むなどの措置が必要という。

 これらの前提として、WebサイトではクロスサイトスクリプティングやSQLインジェクションなどの脆弱性を、またサーバやクライアントでは既知のセキュリティホールを修正しておくことも、特にステルス型フィッシングを防ぐ上では不可欠になるだろう。

 キャシディ氏は、ユーザーに対する教育、啓発の重要性を認めたうえで、「いくらユーザーが注意深くなっても、攻撃者はその裏をかこうと試みてくる」と指摘。自動車に事故を防ぐためのさまざまな機構が搭載されているのと同じように、どんな人でもオンラインバンクサービスなどを安心して使えるような仕組みも必要だと述べている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -