ITmedia NEWS > セキュリティ >
ニュース
» 2018年11月15日 08時00分 公開

ITりてらしぃのすゝめ:あなたの会社は大丈夫? ドメイン放置→悪用の危険性 今すぐできるフィッシング対策は (1/2)

ドメインを放置すると、第三者に悪用される危険性がある。フィッシング詐欺を防ぐドメイン管理のコツは。

[宮田健,ITmedia]

 今年7月ごろに話題になった、「佐川急便」を語る偽SMS/偽サイトに関する攻撃について、皆さんは覚えていますでしょうか。

 実はこの攻撃、その後も手法を変化させながら攻撃が継続しています。特に注意したいのは、AndroidだけでなくiOSも対象となっていること。Androidはこれまでのようにアプリをインストールさせるという手法で、iOSは「Apple IDの情報と認証コードを取得しようと試みる」という手法で攻撃が行われています。

佐川 佐川急便の偽サイト(スクリーンショットは筆者)

 佐川急便を対象にした攻撃に限らず、携帯キャリアのアカウントを奪うことでキャリア決済を使った換金が狙われています。Androidだから危険、iOSは安全などということはありませんので、まずは「提供元不明のアプリのインストールを許可する」という設定をオフにすることで対抗しつつ、最新の情報をチェックすることが重要です。

連載:ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。

「フィッシング」に対抗するもう一つの方法

 このようなフィッシングに対しては「個別の端末でできる対策を行う」「情報を集めて身構える」ということ以外にも、もう一つの対策方法があります。それは「フィッシングサイトが作られる兆候をつかみ、事前にストップさせる」こと。実は日本でも、このような手法で私たちがフィッシングサイトにだまされないよう、事前の策を打ってくれている人たちがいます。

 通常、企業をまねたフィッシングサイトを作成するためには、「似たようなドメイン」を取得し、「サーバを設定」するというステップを踏みます。もしこのサイトができてしまうと、ドメインを止めるか、レンタルサーバや踏み台になっているサーバを止めることで、フィッシングサイトをテイクダウン(停止措置)します。

 同時に、Webブラウザが「危険」と判断するように、フィッシング情報を登録、浸透させれば、万が一URLを開いても、赤く、危険だと表示されるようになります。

 ところが、ドメインレジストラ(ドメインを登録する事業者)に申請し、その利用を止めること、さらにホスティングプロバイダの利用を止めるというのは、かなり時間のかかる作業です。フィッシングにおいては、そのタイムラグが命取り。

 そこで、日本のコミュニティーは「特定のブランド名が入ったドメイン名が取得されたタイミング」に注目しています。そのドメインが明らかに企業による取得でなければ、フィッシングとして悪用される可能性が高いからです。

 この取り組みは有志によって行われており、例えばにゃんたくさん(@taku888infinity)をはじめ、多数の方がリアルタイムにTwitterにて情報を展開してくれています。ここでドメイン登録が成されたものが、しばらくすると実際のフィッシングサイトになり、攻撃が仕掛けられていくわけです。この時点で把握しておけば、フィッシングにも対抗できますね。

フィッシングに対抗するために、企業ができること

 どのようにフィッシングサイトが作られるかが分かれば、企業が行うべき対策も見えてきます。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.