フィッシング問題は表面化していないだけ――セキュアブレイン星澤氏：企業責任としてのフィッシング対策（1/2 ページ）

セキュアブレインのプリンシパルセキュリティアナリスト、星澤裕二氏に、今後のフィッシング詐欺の動向と対策について聞いた。

[高橋睦美，ITmedia]

　「フィッシングやボット、スパイウェアといったさまざまな問題は、それぞれ切り離して考えるべきでない時期に来ている。最近は攻撃する側もいろいろな知恵を働かせ、非常に手の込んだ手法を用いてくる」――セキュアブレインのプリンシパルセキュリティアナリスト、星澤裕二氏は、昨今のフィッシング詐欺をめぐる状況についてこのように語った。

　攻撃手法が高度化するにつれ、何か1つの手だてだけで対処するのは困難になる。企業側、ユーザー側がともにセキュリティ意識を高め、基本的な対策を心がけるとともに、それを補完する意味でさまざまな対策製品を組み合わせていくことが必要だろうと同氏は述べる。

「見えない化」するフィッシング

　2005年にはUFJ銀行やヤフーの名前をかたったフィッシング詐欺が報じられ、日本にもフィッシングが上陸したと騒がれた。しかしそれ以降となると、目立った被害は報じられていない。むしろスパイウェアによる被害やウイルスによるWinny経由の情報流出といった話題の方に注意が向いている状況だ。

　しかし星澤氏は「フィッシングについては、実態がよく把握できていないだけではないか」という。たとえば、日本にもフィッシング対策協議会やフィッシング110番といった届け出窓口が設けられているが、実際にどれだけ届け出が行われているかとなると疑問が残るとした。残念ながら、フィッシング詐欺の被害に遭ったり、詐欺サイトを仕掛けられたりする人の多くは、そうした届け出の枠組みが存在すること自体を知らないのではないかという。このため、「被害が少ない」というよりも「実態が分からない」とするほうが適切ではないかと同氏は述べた。

　セキュアブレインの調査によると、海外ほどの数はないにしても、日本人を狙ったフィッシングサイトは確実に存在しているという。「日本の場合はメールではなく、出会い系の掲示板などにURLが貼り付けられていることが多いが、ヤフーオークションをかたったフィッシングサイトだけでも、怪しいものを含めれば、多いときで数十以上存在している」（星澤氏）

　それでも実被害が生じれば、被害を届け出て閉鎖に追い込むなり、注意喚起を行うなりの手を打つこともできる。しかし、幸か不幸か表立った被害が出ていない以上、そうした怪しげなサイトが存在し続けている状況だ。このように「知られていない事態がある、ということを深刻にとらえるべきではないか」（星澤氏）

　いわゆる「スピア型」といわれる、特定の組織や個人を狙い撃ちにするタイプのフィッシングになると、問題はさらに把握しにくくなるだろうと同氏は懸念する。不正アクセス全般で起こっている問題だが、「一部の人だけをターゲットにした攻撃はなかなか気付きにくいため対処が難しい」（同氏）。

　フィッシングはただでさえ表面化しにくい問題だというのに、スピア型となるとますます表面化しにくくなるだろう。特に「中小企業を狙った場合などは、1度目こそ話題になってもそれ以降はなかなかニュースにもならず、知らないうちに被害を受ける人が増えるというケースも考えられる」（同氏）

使えるものは何でも使う

　残念ながら仕掛ける側の手口はますます巧妙化しており「対策が進めば進むほど、それをかいくぐる新しい手法が出てくる。しかも技術的な手口だけでなく、ソーシャルエンジニアリングを組み合わせたものが出てくる」のが実情だ。

　たとえば、新たに公表／発見されたセキュリティホールがすぐに偽装に悪用されたり、アドレス表記にロングIPアドレスを用いたりと「まだまだ、日々新しい手口が出てきている」（同氏）

　中には、WebサイトにアクセスしてきたIPアドレスを記録しておき、2度目のアクセス以降は本物のサイトにリダイレクトさせることにより「フィッシングサイトにアクセスしてしまったような気がするけれど、勘違いだったかな？」と、ユーザーの目くらましを図るフィッシングサイトもあるという。