実在企業になりすますフィッシングメールの特徴と対策、Proofpointが解説

AmazonやAppleなど実在する企業になりすまして、不正サイトに誘導するフィッシングメールが増加している。米Proofpointのスパム解析担当者が手口と対策を紹介している。

[國谷武史，ITmedia]

　電子メールの約9割を占めるとされるスパムの中で、近年は実在する企業や組織になりすまして受信者を不正サイトに誘導するフィッシングメール（詐欺的なスパムメール）が増加している。来日した米メールセキュリティ企業Proofpointでスパム解析を担当するスパムデータチームマネジャーのジェーソン・ワレス氏に、フィッシングメールの特徴や対策を聞いた。

本物そっくりのフィッシングメール

米Proofpointスパムデータチームマネジャーのジェーソン・ワレス氏

　「“The Year of The Phish”と呼ばれるほど、フィッシングメールが増えるだろう」――ワレス氏は、今年のスパム動向をこのように指摘する。フィッシングメールは数年前から出回るようになった。統計データはないものの、同氏は日々の解析業務を通じて、スパム全体に占めるフィッシングメールの割合が増えていることを実感しているという。

　フィッシングメールでは著名な企業が悪用される場合が多く、最近ではAmazonやApple、UPSなどを名乗ったものが大量に流通した。内容は、「アカウント情報がハッキングされたのでパスワードを変更してほしい」「注文内容に不明な点があり、再度送信してほしい」と、トラブルをでっち上げて受信者の危機感をあおり、メールに記載したリンク先にアクセスするよう促す。

　リンク先のWebサイトも実在企業のものに似せたデザインがほとんどで、一見して偽サイトと判断するのが難しい。攻撃者は偽サイトで個人情報や金銭につながる情報を訪問者に入力させようとしたり、マルウェアに感染させようとしたりする。

　「送信情報やキーワードなどでスパムを検知する従来型のスパム対策では、フィッシングメールを捕らえるのは難しい。メールの本文を注意深く見なければならない」とワレス氏は話す。

　詐欺的スパムを見分けるポイントの1つが、送信元のアドレスとリンク先のWebサイトのURLが正規のものと一致するかどうかだ。

Amazonからの確認依頼を装うフィッシングメール（左）と正規のメール。「Confirm」ボタンの位置とリンク先が異なる

　送信元のアドレスは容易に詐称される場合が多く、正規のアドレスと見分けるのが難しい。だが不正サイトは攻撃者が開設した特有のものであり、フィッシングメールを受信してもリンクをクリックする前にURLを慎重に確認することで、見慣れないURLであれば不正サイトだと分かる。

対策を逃れるスパム送信の新手法

　インターネット上に大量に出回るスパムは、その大半が「ボットネット」と呼ばれる攻撃者のコンピュータネットワークから送信されていると言われる。ボットネットを構成する個々のコンピュータは、マルウェアに感染した一般のコンピュータである場合が多く、攻撃者は所有者に気づかれぬよう密かに指令を出し、スパム配信をはじめとする行為を実行する。

　ワレス氏は、最近になってボットネットではなく、攻撃者が自ら用意したシステムでスパムを送信する手口が増えていると指摘する。これには一部の悪質なインターネットサービスプロバイダー（ISP）の関与も疑われるという。

　ワレス氏が「かんじき攻撃」と呼ぶこの手法は、攻撃者がISPから一定のIPアドレス帯域の割り当てを受け、このIPアドレスを使って攻撃者が設置した複数のメールサーバから少量のスパムを送信する仕組みである。「1つのアドレスから大量にスパムを送信すればすぐに検知されるが、複数のアドレスから少しずつ送信すれば検知を回避できてしまう。力がかかる点を分散させて雪の中に沈まないようにする“かんじき”と同じ理屈だ」（同氏）

ボットネットによるスパム配信（左）と「かんじき攻撃」によるスパム配信の違い

　攻撃者はセキュリティ対策を避けるために、今後も次々とスパムの送信手法を変えてくるとみられる。こうした状況にユーザーが立ち向かうのは容易ではない。ワレス氏は、「だからこそ、われわれのようなセキュリティ企業の技術を活用してほしい」と呼び掛ける。

　同社ではスパム検出エンジンに、自然言語解析技術を活用した独自のフィッシングメール検知機能を開発し、検出精度の向上に注力しているという。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら