万能薬は存在しない：企業責任としてのフィッシング対策

巧妙化するフィッシング詐欺から身を守るには、個人レベルでの対策だけでなく、企業や組織としてもできる範囲の対策を実施していくことが重要だ。

[高橋睦美，ITmedia]

　ウイルスやワーム、スパイウェア、ボットにスパム……インターネットの利用者はさまざまな脅威にさらされている。フィッシング詐欺もその1つだ。

　フィッシング詐欺とは、金融機関やオンラインショッピングサイトの名前を装った偽メールや偽Webサイトを用いてユーザーをだまし、ユーザーIDやパスワード、クレジットカード番号などの重要な情報を盗み取る手法だ。こうして詐取された情報は、偽造カードなどに悪用され、最悪の場合、金銭的被害につながってしまう。

　現に日本国内でも、フィッシング詐欺と思われる手法によって個人情報が盗み取られて偽造カードが作成され、キャッシングの不正利用に悪用されるという事件が報じられた。

　逆に言えば、金銭的利益につながるからこそ、仕掛ける側はさまざまな手法を編み出してユーザーをだまそうとしてきた。画像を借用したHTMLメールや、ユーザーによるアドレスのタイプミスを狙った偽Webサイトといった古典的な手口に始まり、アドレスバーの偽造、Webサイトに存在する脆弱性やセキュリティ設定ミスに付け込む偽造など、次々に新たな方法が登場している。ごく最近には、わざわざ偽ドメイン用のサーバ証明書を取得し、信頼ある組織のWebサイトに見せかける手口まで報告された。

　ユーザーの心理を突いて信じ込ませ、情報を入力させるよう仕向ける理由も多様だ。「サービス改善のため」「セキュリティ向上のため」といったありきたりの口上だけでなく、「懸賞が当たりました」と欲望に訴えるもの、ハリケーン「カトリーナ」の被災者救済を装って善意に付け込むものなど、よくぞここまで、と言いたくなるほどのバリエーションである。

　フィッシング詐欺の存在が注目されるようになって1年以上が経つが、詐欺師たちの活動は止む気配を見せない。フィッシング対策を目的とした業界団体、Anti-Phishing Working Groupが2月末に公開したレポートによると、2005年12月は、フィッシングメールの数こそわずかに減少したものの、フィッシングサイトの数は、前月の4630サイトから大幅に増加し、7197サイトに達した。

　この背景には、「フィッシング詐欺がもうかる」と判断されている事実がある。

　セキュリティ業界関係者は、2005年は、サイバー攻撃の目的が「自己顕示的な愉快犯」から、「明白に金銭を狙った犯罪」へと変わった一年だったと口をそろえる。フィッシング詐欺もその流れと無関係ではない。

　ボットやスパイウェアといったほかの脅威と同様、攻撃を仕掛ける側の組織化が進み、ツールも充実してきた。たとえば、スキルを持たない攻撃者でも容易にフィッシングサイトを構築できる「キット」が存在すると、セキュリティ企業のWebsenseは指摘している。そして、フィッシング詐欺を通じて入手したメールアドレスやクレジットカード番号を違法に売買する闇取引サイトも存在する。いわば、攻撃者の側でも確実に「エコシステム」が構築されつつあるのだ。

万能薬は存在しない

　しかしながら、フィッシング詐欺への対応は難しい。「この対策を取ったから大丈夫」というものではなく、さまざまな角度から取り組む必要があるからだ。

　まず、Webサイトを用いて何らかのサービスを提供している事業者ならば

• 正しいサイト設計を行い、正規に電子証明書の発行を受けるなど、顧客が偽のWebサイトにアクセスしたとしても「勘違い」が起こらないよう配慮する
• クロスサイトスクリプティングをはじめとするWebサイトの脆弱性を修正し、フィッシング詐欺に悪用される可能性を減らす
• 万一ユーザーがフィッシングメールにだまされ、個人情報を詐取されたとしても、被害を最小限に抑えるよう認証などそのほかのセキュリティ機能を強化する

といった対応が考えられる。

　また、「フィッシング詐欺に引っかかるのは個人の責任」という意見もあるだろうが、企業や組織のネットワーク管理者ならば、管理下のユーザーが被害に遭わないように、

• まずフィッシングメールがユーザーの手元に届かないようにする
• フィッシングメールにだまされて偽サイトにアクセスしようとする際に接続をブロックする
• 端末では最新のパッチを適用し、脆弱性をなくしておく。また、エンドポイントセキュリティ製品（パーソナルファイアウォールなど）によって、個人情報を外部に送信する際に警告を発する

などの対策も必要になるだろう。さらに、フィッシング詐欺を仕掛ける側に付け入るすきを与えないために

• 自社サイトがフィッシングサイトに悪用されないよう、Webサイトの運用、監視をしっかり行う

ことも欠かせない。

　このように、フィッシング詐欺への対策を進めることは、スパム対策やスパイウェア（マルウェア）対策、不正アクセス対策など、ほかのセキュリティ対策とも密接に関連してくる。フィッシング詐欺に備えて取り組みを進めることは、総合的なセキュリティレベルを高めることにもつながるだろう。

　なお、市場には「フィッシング対策」をうたい文句にしたツールや製品が多数登場しているが、いずれも決して「万能」ではない。それぞれの製品ができることとできないことを見極めた上で導入するのであれば効果があるだろうが、ツールに頼りきるのは最も避けるべきことだ。

　というのも、ほかのセキュリティの脅威同様、フィッシング詐欺の手口は常に変化するからだ。当初は有効だった対策も、浸透するにつれ、攻撃者はそれをかいくぐる新たな手法を考え出してくる。昨日までの常識は、明日になれば常識でなくなってしまう可能性は十分にある。

　以上の注意を踏まえた上で、「企業責任としてのフィッシング対策」の一連の記事では、昨今のフィッシング詐欺の傾向やエンドユーザー側の注意点を改めて探るとともに、メール送信時やWebサイト構築時に必要な対策について触れていく。また、万一自社システムがフィッシング詐欺に悪用されてしまった場合の対処についても紹介したい。