「これからの季節はグリーティングカードに注意を」、フィッシング対策協議会

12月16日に行われた「Email Security Conference」で、フィッシング対策協議会の情報収集・提供ワーキンググループ主査の中田太氏が最近のフィッシング詐欺の動向について語った。

» 2005年12月19日 17時46分 公開
[高橋睦美,ITmedia]

 「2003年以降、利益目的のプロの詐欺集団が参入し、フィッシング詐欺やワンクリック詐欺といったデジタル詐欺が本格化している」――12月16日に行われた「Email Security Conference」のセッションにおいて、フィッシング対策協議会の情報収集・提供ワーキンググループ主査の中田太氏はこのように警告を発した。

 中田氏はこのセッションで、日本でも被害が顕在化した2004年9月以降を中心に、国内のフィッシング詐欺の動向について解説した。

 「最近の手口で目立つのは、天災にかこつけて募金活動を装うフィッシングサイトだ。また、特にこれからの季節は、グリーティングカードを装うメールに注意が必要だ。『あなた宛にグリーティングカードが届いています』というメールを出してWebサイトに誘導し、ウイルスやスパイウェアを埋め込んで個人情報を盗み取るという手口も考えられる」(中田氏)

常に裏をかき続けるフィッシャー

 中田氏によると、フィッシング詐欺を仕掛ける側は非常に多層的かつ組織的になっている。メールを作成してばら撒くもの、フィッシングサイトを設置するもの、盗みとった情報を転売するもの、といった具合に分業化が進んでおり、仮にフィッシングメールをばら撒いた人物を特定し、検挙できたとしても「根絶やしにするのは困難だ」(同氏)。

 手口のほうも「手を変え品を変え」という状態だ。ある手法によるフィッシング詐欺が登場して騒がれ、対策が講じられると、すぐにまた対策の裏をかいた新しい手法が登場する状態だという。

 フィッシング詐欺の中で最も古典的な手口の1つが、Webブラウザのアドレスバー部分にポップアップウィンドウを表示させ、見た目を偽造するという手法だ。今となってはこの手口は広く知られた上、Microsoftが対策を施し、Windows XP Service Pack 2の環境では悪用が困難になった。

 そこで次に登場したのが、Webブラウザのアドレスバーを消して、JavaScriptで偽のアドレスバーを生成するという手法だ。ポップアップウインドウを利用する場合とは異なり、この場合、偽物ではあってもアドレスバーとして正常に機能する。また別の手口として、クロスサイトスクリプティングの脆弱性を悪用し、iFrame要素を丸ごと埋め込んで画面を差し替えるという手法も登場している。URLは本物なので、見抜くのはさらに困難だ。

 一連のフィッシングサイトの根本的な見分け方としては、電子証明書やブラウザのプロパティを確認するといった方法が挙げられる。しかし「一般のコンシューマーが証明書の内容やプロパティを簡単に確認できるかというと難しいのでは」(中田氏)

 たとえば電子証明書ひとつとっても、Yahoo!のようにそのままの名称で電子証明書を取得していればまだ分かりやすい。しかし金融機関の中には、公式Webサイトとは別のドメインを用いていたり、共同運用センターの名前など、コンシューマーには何のことやら判断しにくいドメイン名が利用されているケースもある。

 この事実を逆手に取った方法も登場している。例えば、AOLとは何の関係もないのに「billingmx-aol.com」という紛らわしいドメイン名を取得してフィッシングサイトを設けるやり方だ。これはコンシューマーに「AOLの明細確認用のWebサイトかもしれない」と思わせるもので、技術的には何の仕掛けも施さず、「ただただ紛らわしい名前を使っているだけ」(中田氏)。しかしそれでも多くのユーザーがだまされてしまうという。

 ならば、フィルタリングによってフィッシングメールが手元に届かないようにするという方法はどうか。これも、単純なものならばブロックできるが、それを踏まえて今度は、背景色やそれに似た色でランダムな文字列を加えることによりフィルタをすり抜けてくる手法が「開発」されている。

 中田氏はさらに、フィッシング詐欺は必ずしもメールによって仕掛けられるとは限らないと指摘した。その例が、2005年11月に相次いで登場したYahoo! オークションをかたったフィッシングサイトだ。評価通知メールを装ってWebサイトに誘導するものもあったが、そうした手法を使わない別の詐欺サイトも存在したという。

 「このフィッシングサイトは、アダルトサイトにリンクを埋め込んだり掲示板やブログにリンクを書き込んで、メールを使わずに誘導していた。書き込みをして後は待っているだけという意味で、ファーミング的な手法だ」(中田氏)

 中田氏によると、アンダーグラウンド市場では、この手のフィッシングサイトを構築するための「キット」が売買されているという。本物らしく見せかけるための金融サイトのHTMLソースが売買されており、「追加料金を支払えばフィッシングメールの作成も請け負う」といった書き込みまであるという。

Googleで詐欺サイトを検出

 企業の側としては、自社を騙ったフィッシングサイトが立てられる事態は何とかして避けたいところ。しかし現実には、立てられる前に予防することは困難だと中田氏。発見したものから随時ISPなどに連絡し、閉鎖に追い込んでいくことになる。

 しかしこれも、そう簡単な作業ではない。同一国内ならばまだしも、国境をまたいだ場合は「まず言語の壁がある。それに法律という問題もある。そもそも日本でも、フィッシングサイトそのものを取り締まる法律が存在しない」(同氏)

 ちなみに、自社をかたったフィッシングサイトが構築されていないかどうかを確認する専用ツールなどは残念ながら存在しない。しかし1つの方法として、Googleを活用する手があるという。タイトルやURLなどを検索キーに用いて検索を行うと、自社サイトが表示されるのはもちろんだが、場合によってはフィッシングサイトを発見できるケースがあるという。

 今後もフィッシング詐欺の手法はさらに洗練されていくだろうと中田氏。特に「PCだけでなく、携帯電話を狙うものが登場してくる可能性がある。また、DNSを利用したり脆弱性を突いたりと、複合型の手法が登場してくるだろう」(同氏)

 市場にはいくつか、フィッシング詐欺を防ぐための対策ツールが登場しており、大まかに認証系とフィルタリング系に分類できる。だが「どれか1つでOKかというとそうでもない。さまざまなフェーズでセキュリティが必要になる」(中田氏)。また今後の課題として、エンドユーザー自身がサーバが安全かどうかを確認し、認証するための「簡単で分かりやすい手段」も必要だろうとした。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ