“偽サイトを見分けよう”という行為自体がもう危ない：半径300メートルのIT

このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。

[宮田健，ITmedia]

　ITの世界では「銀の弾丸」（Silver Bullet）という表現がよく使われます。元ネタは、米国の著名なエンジニアであるフレデリック・ブルックス氏が1986年に公開した論文『No Silver Bullet - essence and accidents of software engineering』で、「プログラミングにおいて特効薬となる技術はしばらく登場しない」ということを指しています。

　しかしセキュリティにおいては、皆が銀の弾丸の探しているだけでなく、“ハリボテ”の弾丸を“銀”だと言う論調も見かけます。もはや銀の弾丸のような万能のソリューションはなく、銀の弾丸かどうかの見分けもつかない時代で、私たちはどう安全に生きていけばよいのでしょうか。もちろん本稿の結論に至っても“銀の弾丸”はありませんので、一緒に考えていきたいと思います。

“偽サイトを見分けよう”という行為自体がもう危ない

　セキュリティにおいて今特効薬が求められるサイバー犯罪といえば、フィッシングや詐欺が挙がるでしょう。セキュリティ担当者だけでなく一般の従業員から経営層まで幅広く被害者になる可能性があるという意味で喫緊の課題だと言えるからです。ただ、結論から言えばこれに対する特効薬は今後数年は恐らく出てこないままでしょう。

　これまで、さまざまな記事やテレビ番組で、フィッシングサイトやフィッシングメールの見分け方が解説されてきました。「偽のWebサイトにはこうした特徴があります」ですとか「この部分に注目すれば偽のWebサイトだと見分けられます」といったものです。読者の皆さんもそんな内容の紹介をたくさん見てきたのではないでしょうか。

　こうした見分け方は、確かに昔はある程度正しかったかもしれません。しかし敵は私たちの対策を観察し、その裏をかくように日々進化しています。つまりこれまでの対策が逆効果になる可能性があるわけです。例えば「日本語がおかしい部分があればそれはフィッシングです」と言われれば日本語を直しますし、「httpsになっているか確認しましょう」と言われれば正しく錠のマークが表示されるように設定し、見分けられないようにしています。「○○を見たら偽物と思え」という考え方自体が狙われているのです。

　ここでしっかりと認識すべきなのは、「見分ける」こと自体が非常に難しいという点です。「見分けない」ということも対策になり得ると思いますが、「見分ける」「見分けない」どちらも非常に難しいことだと認識することこそ、普通の人たちが持つべき感覚ではないかと考えています。セキュリティに詳しい人ですら、見分けることは非常に困難だと言えるでしょう。しかし見分けようとする行為をばかにしたり、見分けられないことを非難するのも間違っている気がします。

　現時点におけるそれなりの“正解”は、銀行や株式口座などの金融機関など、絶対にフィッシングに引っ掛かりたくないWebサイトについてはあらかじめブックマークしておく、または提供されている専用のアプリを利用することでしょう。

　電子メールやSMSで送られてくるURLを“見分けず”何かがあればブックマークまたはアプリからアクセスし、お知らせをチェックしたりログイン履歴を見たりすることで、怪しさから距離を置くことが必要です。もちろん、この手法すら将来は裏をかかれる可能性がありますが、この方法を皆さんだけでなく家族も含めて実践することが大事です。

巧妙に進化する攻撃手法　サポート詐欺の最新動向とは？

　インターネット世界を安全に、子どもたちを含めて自由に使えるにはどうすればいいのかを考えるのが私たち大人の仕事です。しかし現状は厳しく、サイバー攻撃者の手法は次から次へと新しいものが出てきています。

　個人的に気になっているのはWeb広告経由の「サポート詐欺」です。スマートフォンやPCの画面がいきなり全画面で「ウイルスに感染した」などと表示され、リモートアクセスの許可を促したり、偽のウイルス対策ソフトを購入させたりします。政府広報やMicrosoftでも引き続きこの詐欺について注意喚起しています。

　これに加えてWeb広告の審査をもう少ししっかりしてほしいと思っていましたが、話はそう簡単ではないと最近になって知りました。セキュリティベンダーのデジタルアーツが公開しているブログでは、サポート詐欺を“出稿”している悪意のある広告主がどのようなテクニックを使っているかを掲載しています。

広告からサポート詐欺サイトが表示、その手口を分析（出典：デジタルアーツが公開する資料）

　この内容が非常に興味深く、悪意のある広告主は審査のタイミングでは問題のないランディングページを表示させ、条件に合ったときだけサポート詐欺を実行するWebサイトへと切り替える仕組みを使っているという調査結果が公開されています。

　マルウェアにおいても、自分自身がマルウェア検知のためのサンドボックス内にいるかどうかで動作を変えるものがありますが、広告においてもそのような、悪意に満ちた行動を取るものがあるわけです。

　この記事の中でも「遭遇しないよう対策をしようにも、サポート詐欺サイトが動的に生成されたり使い捨てにされたりという場合はブラックリストでの捕捉はできず、未然に防ぐことは困難です」とあり、対策の難しさを感じます。

　フィッシングサイトの隠し方に関しては、テクニカルな内容ですがこちらの記事も非常に興味深いです。悪意あるものがどれだけ工夫しているのか、ぜひチェックしてみてください。

“銀の弾丸はない”という前提で対策を考える

　セキュリティに詳しい人であれば、上記の現状を肌感覚で得られているでしょう。しかしもはやそのような人ですらだまされる時代です。二要素認証が使われていたとしても、情報システム部を装い、正しい担当者の名前を名乗った上で「今からテストを実施するので、SMSが飛んできたら6桁の番号を教えていただけますか？」という電話がかかってきたとき、あなたはそれをフィッシングだと気が付けるでしょうか。もはや誰もがだまされる時代なので、詳しい人も詳しくない人もいがみ合うことなく、皆でこの世界を守っていく必要があるでしょう。

　攻撃者の悪意から身を守る「銀の弾丸」はありませんが、最も重要なのは「銀の弾丸がない」という前提から考えるということではないかと筆者は思います。一番良いのは、一人で何かを決めつけることなく、識者を含め皆で考え、情報を共有すること。

　特にサポート詐欺はポルノサイトなど、あなたが誰も相談できないであろう「恥ずかしさ」を使ってることも多いです。ぜひ、最新情報を知り、家族を含め相談できる準備をしておくようお願いします。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。