VoIPや携帯電話、IMにも――Symantecが2006年のフィッシング動向を総括

フィッシング攻撃は年間を通じて増加を続け、VoIPや携帯を使うなど手口は多様化。攻撃側の「革新性」も増しているという。

[ITmedia]

　フィッシング攻撃の件数は2006年を通じて増加を続け、VoIPや携帯電話、インスタントメッセージング（IM）なども利用されるようになっている――。セキュリティソフトメーカーの米Symantecは12月26日、2006年のフィッシング動向をブログで総括した。

　2006年はフィッシングサイト、フィッシングメールとも件数が増加した。狙われるのはほとんどが金融機関だが、これに加えて小売り、ソーシャルネットワーキングサイト（SNS）、サービスプロバイダー、政府機関のサイト、認証機関にまで標的が拡大されている。

　曜日と季節のパターンを見ると、夏の間と毎週日曜・月曜はフィッシングメールの件数が減る傾向にあり、攻撃側が会社のように夏休みと週末の休みを取っている様子もうかがえるという。

　攻撃の手口は、電子メールから詐欺サイトに誘導するという従来型の手口に加え、電子メールを使って特定の電話番号に電話をかけさせるものや、通話料の安いVoIP電話で接触してくる音声フィッシングの「ビッシング」なども出現している。ただ、こうした攻撃の報告件数はまだそれほど多くなく、今後増えるかどうかは不明だとSymantec。

　携帯電話のSMSメッセージを使った「スミッシング」（smishing）も新たな手口として浮上した。Webサイトで注文をキャンセルしないと日割りで料金を取られるというメッセージを携帯電話に送りつけ、被害者がそのサイトにアクセスして注文を「キャンセル」すると、マルウェアに感染し、システムを制御されてしまう。

　また、IMを使ったフィッシングでは悪質なケースとして、友達からのメッセージを装って特定サイトに誘導し、IMアカウントのユーザーネームとパスワードを入力させる攻撃も起きている。攻撃者は被害者のアカウントにログオンして、友達リストに登録された全ユーザーに対し同じ攻撃を繰り返す。

　一方、こうしたフィッシング攻撃を食い止める技術も多数考案されている。このうち2要素認証では、銀行がユーザーにハードデバイスを配布して、頻繁に切り替わる無作為の番号を表示し、アカウントにログオンする際にはユーザー名とパスワードのほか、このデバイスに表示された番号の入力を求める仕組みがある（関連記事）。

　しかし攻撃側の技術も巧妙化。フィッシング対策製品の多くは既知のフィッシングサイトのURL一覧に基づき詐欺サイトを遮断しているが、攻撃側はこれをかいくぐるため、1回しか利用できないURLを多数使い、ここから特定のWebサイトにつなげる仕組みを導入している。数千ものURLから1つのサイトに誘導していたケースもあるという。

　こうした動向を総括してSymantecは、今年のフィッシング攻撃は頻度が増して多様化し、「革新的」になっていると解説。防御側は常にこれを上回る革新性が求められ、一貫して取り組みを強化する必要があると結んでいる。