毒キノコはもうカラフルな色をしていない：最新セキュリティ講座 第5回（2/2 ページ）

[瓜生聖，PR／ITmedia]

PR

オンライン詐欺の実例

　詐欺全般にも言えることだが、オンライン詐欺は技術的なトラップ（罠）に加え、心理的なトラップも組み合わされている。また、犯罪行為の露見した詐欺師がすぐに場所を変えて詐欺を再開するように、詐欺サイトも次から次へとサイトを変更する。しかも現実社会のような時間はかからない。

　人を騙すために本物とそっくりの偽物を作る、ということも詐欺ではよく見られる。現実であれば真贋の判定は可能だが、デジタルの世界で“そっくり”というのは数ドットの違いもなくまったく同じ、ということ。見た目で判断するのは不可能だと言ってもよい。

　ここからはオンライン詐欺の実例をいくつか紹介しよう。詐欺サイトへの誘導方法として代表的なのはHTMLメールのリンク偽装だ。たとえば次のようなもの。

　この情報の詳細を読むには http://www.itmedia.co.jp/ にアクセスしてください。

　このリンクをクリックするとITmediaのトップページにジャンプするように思えるが、実際は表示されているURLとは異なるリンク先が設定されている。非常に単純な仕組みだが、対象が不特定多数の人間であれば、別のサイトへ誘導する手段としては効果的だ。

　そして、ジャンプ先のサイトでは本来のURLを隠すための偽装が行われる。「http://www.citibank.com"+".e-gold.com」のような正規のURLを前半に含んだ長いアドレスを使って、ポップアップウィンドウのタイトルバーに表示されるアドレスを偽装したり、ステータスバーの表記を書き換えて正規のサイトのURLを表示するなど、さまざまな方法が用いられている。

　大胆な方法としては、ポップアップウィンドウにしか見えないが実はウィンドウ枠も含めてすべて画像だった、という例もある。スパイウェアなどですでに報告があるものだが、Ajaxなどを利用すれば本物とほぼ同様の動きをするポップアップウィンドウを作り上げることも可能だろう。

　ほかにはDNSポイズニング、DNSキャッシュ・ポイズニングと言われる方法もある。通常、ユーザーがWebサイトにアクセスするときに使用している「www.itmedia.co.jp」などのアドレスは、人間が分かりやすいようにつけた名前であり、実際の通信ではIPアドレスを指定して接続を行う。DNS（Domain Name System）は、このときにURLからIPアドレスに変換する仕組みだ。PCはDNS情報をDNSサーバーから取得する。

�@ユーザーが「www.mybank.com」のようにWebサイトのURLを入力　�AすべてのURLは個別のIPアドレスを持っており、DNSサーバーはユーザーがリクエストした「www.bank.co.jp」を探して、IPアドレス127.12.34.56を取得する　�BいったんWebサイトのIPアドレスが認識されるとDNSサーバーはユーザーのブラウザをそのIPアドレスに振り向け、ユーザーのブラウザには該当するWebサイトが表示される

　DNSポイズニングは、このDNSの情報に不正なデータを入れてしまうというもの。驚くべきことにDNSによる名前解決のポイント（つまりDNSサーバー自身、DNSへの問い合わせを行うリゾルバ、DNSよりも優先されるローカルな情報であるHOSTSファイル）のすべてにおいて、今まで悪用されてきた実例がある。DNSに不正な情報を混入されてしまうと、偽装するまでもなく正規のアドレスが表示されることになる。DNSサーバーの汚染はユーザーにはなすすべがないほど影響が大きいのだ。

�@ユーザーが「www.bank.co.jp」のようにWebサイトのURLを入力すると、コンピュータはURLのリクエストをDNSサーバーに送る　�Aそこで事前に悪意のあるプログラマがDNSサーバーをハッキングし、「www.bank.co.jp」に対応するIPアドレスを誘導したいWebサイトのIPアドレス（125.56.34.21）に書き換えておく　�BDNSサーバーはユーザーがリクエストした「www.bank.co.jp」からIPアドレス125.56.34.21を取得　�Cこのため、DNSサーバーはユーザーのブラウザを詐欺目的のWebサイトに振り向けてしまう。�D犯罪者が詐欺サイトを本物と同じように作っていれば、ユーザーは詐欺サイトにアクセスしていることに気付かず、アカウント名やパスワードなどの大切な情報を送信してしまう。これらは犯罪者の元に送られる

　仮に見た目がそっくりでも、詐欺サイトはサービスを提供できないからすぐに分かるはずだ、などとたかをくくってはいないだろうか。詐欺サイトでアカウント情報を入力した後に「サービスが混みあっています。しばらく待ってからもう一度アクセスしてください」という表示とともに正規サイトへ「戻る」のリンクが張られていたら、まず気付くことはできないだろう。

オンライン詐欺の対策が難しい理由とは

　これらの詐欺テクニックに万能なものはない。注意深い人間であれば（そして運がよければ）詐欺的なアプローチをしりぞけることができるかもしれない。しかし、オンライン詐欺は不特定の大多数に仕掛けるものだ。1度の詐欺メールで騙される人がいなかったとしても、何度も繰り返すうちに0.01％でも騙される人がいれば、100万人が対象なら被害者は100人という大規模な事件になりうる。

　オンライン詐欺に関して言えば、所詮は“いたちごっこ”だと断じてよいかもしれない。不審に思ったユーザーからの報告で詐欺が発覚しても、犯罪者はすみやかに次のサイトを立ち上げてしまう。現実社会の詐欺師のように次の町に移動するような手間はいらないし、事実、詐欺サイトは平均5日程度で新たなサイトに移行しているというデータもある。そもそも「すぐにばれる」ということを前提にした詐欺に対して、詐欺サイトをリストアップしたブラックリストだけでは対応すること自体が難しい。だが、“いたちごっこ”だと簡単に言っても被害に遭うのはユーザーだ。

　単なるいたずらや功名心によって破壊活動を行うウイルスを作成するのとは異なり、実際に利益を得ることができる詐欺では攻撃者側のモチベーションも高い。組織的な犯罪グループが金でプログラマを雇うパターンもありうる。もしかしたら攻撃者は楽をして稼ごう、という者ばかりではなく、犯罪組織でのノルマをこなすために必死になっている者もいるかもしれない。

　攻撃者は遊び半分ではない、ということを念頭に置いて考えると、無機質なプログラムを相手にした今までのセキュリティ対策の脆弱さが目立ってくる。まったく新しい角度からセキュリティ対策を考え直さなくてはいけない時期にきているのだ。

点から線のセキュリティへ――Norton Confideitial

安全な取り引きのためには“点”のセキュリティではなく“線”のセキュリティが必要だ

　個人情報保護をうたうセキュリティソフトウェアは今までにも販売されている。しかし、使ってみるとそれらのプライバシー保護機能が守ってくれる範囲は、あまりにも限定的であることに気付くはずだ。このようなソフトウェアはあらかじめ登録しておいた個人情報、本名、住所、カード番号、銀行の口座番号などが外部に送信されるさいに警告を発する。しかし、オンラインで日常的にショッピングなどを行っていれば当然ながら個人情報を送信する機会も多くなる。例えば、口コミサイトなどで製品を絞り込み、価格比較サイトや検索で安いサイトを探して購入する場合、初めて利用するサイトに対して「ここは安全だ」と判断しなければならないのはまぎれもないユーザー自身だ。

　結局、情報送信先の評価を行わずに警告だけを発するソフトウェアがカバーできるのは、マルウェアなどによって意図せずに個人情報が流出する危険だけとも言える。これはPCそのものの安全性、言ってみればウイルス対策と同じく「点」のセキュリティに過ぎない。しかし、現在インターネットで求められている安全性は「線」、ネットワークを介した通信による取り引き（トランザクション）そのものだ。

　個人ユーザー向け製品で総合的なオンライントランザクションセキュリティを実現したソフトは、「Norton Confidential（ノートン・コンフィデンシャル）」が世界初、かつ唯一のものとなる。Norton Confidentialでは、通常のフィッシング対策に利用されるブラックリスト（詐欺サイトのリスト）とホワイトリスト（正規サイトのリスト）での防御に加えて、ブラウザに表示されたWebサイトのURL分析／コンテンツ分析／レイアウト分析／サイト分析によって、未知の詐欺サイトに対してもヒューリスティックな検出を可能とした。出現、消滅、移動を繰り返す膨大な数の詐欺サイトへの対策が初めて“いたちごっこ”ではなくなったのだ。

　次回はこのNorton Confidentialのもう1つの特徴である、クライムウェアからの保護について見ていくことにしよう。