急増する偽サイト、ユーザーの危機管理意識の薄さが標的に：Weekly Access Top10

偽サイトから個人情報を抜き取るフィッシング攻撃が多発している。「自分だけは被害を受けない」と考えているユーザーは、詐欺犯にとって格好の餌食となる。

[藤村能光，ITmedia]

Weekly Access Top10

2008年03月22日〜2008年03月28日

1. 神の手雲メールに注意　マルウェア感染の可能性も
2. チベット支持者を狙うサイバー攻撃が発生
3. F1グランプリの公式サイトが改ざん
4. ブログの4割は「迷惑ブログ」――ニフティ調査
5. 「IT野麦峠」「うさぎ症候群」を改善した在宅勤務の魅力
6. NGNは情報通信革命のジャンヌダルクではない
7. 日米で急増のWebサイト改ざん攻撃、引き続き注意を
8. Windows版Safariに未パッチの脆弱性報告
9. 「冷却」から考えるグリーンIT
10. オープンソース化から1年を経たSecond Life

　今週の1位は、「神の手雲」の画像を掲載しているサイトのリンク先をたどると、マルウェアが仕掛けられている可能性があるという内容の記事だった。この画像を添付したチェーンメールは数年前から出回っているが、マルウェア感染の手口として用いられているという。

　日本でフィッシング攻撃の対象となる企業が後を絶たない。3月14日にゆうちょ銀行のフィッシングサイトが、2月25日にはイーバンク銀行の偽サイトが発見された。

イーバンク銀行の偽サイト。通常のサイトでは暗証番号を入力する欄はない

　電子メールを送ってフィッシングサイトに誘導し、IDやパスワードといった個人情報を抜き取る手口も急増している。RSAセキュリティの調査によると、2月のフィッシング攻撃は1万2158件に上り、過去1年間で2番目に多くなっているという。

　その理由の1つにフィッシングを含むオンライン犯罪で分業化が進んでいることが挙がる。フィッシングメールを送るアドレスを収集したり、ボットネットやフィッシングツールを作成したりする用途で組織が作られており、フィッシングの詐欺犯は各組織からノウハウやツールを入手し、フィッシングサイトの設置やフィッシングメールの送信をしているのだという。

　「これまでのフィッシングは愉快犯的な攻撃だったが、2007年ごろから手法を分業するなどビジネスモデル化している」（RSAセキュリティマーケティング統括本部の岩尾健一マーケティングマネジャー）

直接お金に絡まない組織も攻撃対象に

　フィッシング攻撃は今後どのようになるのか。巧妙な手口が出てくる一方で、「メールを送って偽サイトに誘導するシンプルな攻撃が今後も継続する」と岩尾氏は指摘する。

　このような攻撃は、セキュリティ対策をきちんと講じていれば防ぐことができる。だが「実際に狙われるまで対策をしない企業も少なくない」（岩尾氏）。ユーザー側の危機管理意識の薄さは、詐欺犯にとって格好の餌食となる。

　フィッシングは金融機関のように金銭搾取につながるサイトだけにとどまらない。SNS（ソーシャルネットワーキングサービス）やブログ、掲示板を狙ったフィッシング攻撃も増加しているという。大手SNSのmixiをかたるフィッシングも起こっている。詐欺犯はフィッシングで得た個人情報の人物になりすまし、SNS内のコミュニティーなどに偽サイトに誘導するURLを書き込む。

mixiの体裁を真似たフィッシングサイト（出典：フィッシング対策協議会）

　岩尾氏によると「フィッシングという言葉を知っているユーザーは約8割」という。裏を返せば約2割のユーザーはフィッシング自体を知らないことを示している。フィッシング攻撃とその対策は総じていたちごっことなってしまう。だが対策以前に、「自分だけは攻撃を受けないと慢心するユーザーが少なからずいる」（同氏）ことが問題だ。そんな心の隙を狙うのが詐欺犯である。ユーザーはこれまで以上に危機管理意識を持つ必要がある。