 |
K子のフレッシュセキュリティ4コマを読む >> |
フィッシング詐欺とは?
インターネットを利用したセキュリティ被害は増加傾向にありますが、中でも金銭的な被害が多数報告されているのが「フィッシング詐欺」です。フィッシングの表記は、「釣り」を意味する「fishing」ではなく「phishing」ですが、これは、そもそもの「釣り」の意に加え、「ユーザーを釣るための餌となるメールが洗練されている、手が込んでいる(Sophisticated)」ところから来たというのが一般的です。ほかにも、単に同音の言葉を別の表記で言い換えたスラングとされる意見もあり、語源は諸説あります。
このフィッシング詐欺は、悪意ある第三者(フィッシャー)がオークションサイトや有名企業を装い、偽サイト(フィッシングサイト)へのURLリンクを貼ったメールを送りつけ、クレジットカード番号や銀行口座などのID、パスワードや個人情報を入力させ、盗み出すものです。アメリカで被害が拡大し、2004年頃から日本でも被害が報告されるようになりました。本人の口座番号を盗み出して他人の口座に不正送金される被害に遭うだけでなく、大手ポータルサイトなどに登録したアカウントが乗っ取られた場合は、偽りの商品をオークションに出品されたり、相手から出品物を盗みとったりするオークション詐欺の片棒を担がされる可能性もあるため一層注意が必要です。
では、実際の被害件数はどの程度あるのでしょうか。国家公安委員会、総務大臣及び経済産業大臣が2011年3月3日に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、警察庁に報告のあった不正アクセス行為を対象にした平成22年度の不正アクセス行為の認知状況では、前年度に比べて減少傾向にあるものの、その手口ではフィッシングサイトを経由してIDなどの識別符号を入手したとされるものが1,411件となり、その割合は全体の88%に。フィッシング詐欺の被害は引き続き高い水準で推移している状況です。
また、フィッシングに関する情報収集や注意喚起などの活動を行っているフィッシング対策協議会が発表した「フィッシングレポート 2011」によれば、フィッシング情報の報告件数は2011年2月までに対前年度比で約33%増え、フィッシングサイトの件数は対前年度比で約86%増と大幅に増加傾向にあることがわかります。特に、フィッシングサイトのテイクダウン(管理者や法務団体によるWebサイトの強制閉鎖)を回避するなど、フィッシング手法の高度化が進んでいることが影響していると報告されています。同様に、フィッシングによりブランド名を悪用された企業の件数は、2009年度は前年から減少したのに対して、2010年度は対前年度で139%増加しており、フィッシングの対象となるブランド数が増えつつあることを示しています。
【参考リンク】
一般的なフィッシング詐欺の手口
フィッシング詐欺の一般的な手口は、金融機関やカード会社など信用ある企業を名乗る偽装メール(フィッシングメール)がユーザーに届けられ、「カードの有効期限が切れるので更新してください」など、記述されたURLをクリックするように仕向けられます。クリックした先にはフィッシングサイトが設置されており、本物そっくりに制作されているため、偽物かどうか一目では区別できないよう巧妙に細工されています。このフィッシングサイト上でクレジットカード番号やID・パスワードなどを入力してしまうことで、個人情報が詐取される仕組みです。フィッシング詐欺でよく使われてきたフレーズには、「ユーザーアカウントの有効期限が近づいています」「新規サービスへの移行のため、登録内容の再入力をお願いします」「宝くじに当選しました」「48時間以内に返信しないと口座が停止されます」などが挙げられます。中には、「お客様の口座で不審な取引が確認されています。お客様の口座情報を確認してください」といった、フィッシング詐欺への警戒心をそのままフレーズに使っているケースも。IDやパスワードを直接メールで尋ねるのではなく、ワンクッション置いて入力するように仕向ける、という手口がフィッシング詐欺の特徴とも言えます。
フィッシング詐欺に使われるフィッシングサイトの中には、本物のWebサイトと類似するドメインを利用して、ユーザーを騙そうとするものもあります。一見すると正しいように見えるものでも、一文字違っていたり(Yahoo→Yafoo)、繰り返し出現する文字が異なったり(Google→Gooogle)するURLが実際に存在しています。このフィッシングサイトへ誘導するためのURLは、メールに張り付けて送られてくるケースが多いものの、中には直接URLを入力する人のタイプミスを狙ってフィッシングサイトへ誘導する手口としても使われます。これは「タイポスクワッティング」と呼ばれており、メール以外であってもフィッシング被害に遭う可能性があります。
【参考リンク】
進化するフィッシング詐欺の現状
近年では、従来のような単純なフィッシングではなく、より巧妙に攻撃を仕掛けてくる傾向にあります。それは、メールやUSBメモリなどから特定の組織にある端末に侵入し、知財情報や個人情報を盗み出す標的型攻撃です。本来なら一定のセキュリティ対策を実施していれば防げるものでも、組織の対策状況にあわせて攻撃が継続され、重要情報が盗まれるなどの被害が出始めているのです。このような攻撃は海外では「Advanced Persistent Threats(APT)」、独立行政法人 情報処理水新機構(IPA)では「新しいタイプの攻撃」と呼んでいます。
その手法の一例を挙げると、まず関係者を装って組織内の特定のメールアドレスにウィルス対策ソフトでは検知できない未知のウィルスを添付し、ウィルスに感染させます。その後、攻撃者と感染したウィルスの間で通常のHTTP通信を模倣したやり取りにより通信環境を構築。このウィルスが組織内を定期的に巡回し、組織内にある知財情報などの機密情報を盗み出し、攻撃者に送付してしまうといった手法です。情報を盗み出すまでには数ヶ月を要することもあり、組織の状況に合わせてウィルス自身をアップデートすることもあります。
この新しいタイプの攻撃が知られたきっかけの1つが、2010年7月頃に発見された、発電所などのインフラ制御システムを標的としたウィルス「Stuxnet(スタックスネット)」です。Stuxnetは、USBメモリからWindowsのパソコンに感染し、原子力発電所の制御システムに利用されている独シーメンス社のソフトウェアにある脆弱性を悪用し、制御システムへ攻撃を加えるマルウェアです。制御システムに影響を及ぼすマルウェアとして注目されたStuxnetですが、実はこのソフトウェアを使っている施設ならどこでも感染するものではありません。つまり、特定のターゲットをピンポイントで狙った標的型攻撃という側面も持っていました。
国内でも防衛産業を狙った標的型攻撃が2011年9月に発生し、一部報道によれば複数の拠点に点在するサーバーやパソコンのうち83台がウィルスに感染し、そのウィルスの種類は50以上にまで及んだという事件がありました。スパイウェアや外部との通信を確立するバックドア型、ウィルスなどをダウンロードさせるダウンローダーをはじめ、情報搾取のためのウィルスも仕込まれるなど、大きな話題となったことは記憶に新しいところでしょう。
他にも、人間の心理や行動の隙を狙い、情報を不正に取得するような、技術以外の手口も巧妙化しています。例えば、東日本大震災や原子力発電所の事故に乗じ、地震や計画停電、放射能の汚染状況など震災関連情報を装った標的メールも多く飛び交っています。具体的には、メールの件名が「計画停電の実施に関する情報」や「お子さんをお持ちの被災者の皆様」という内容で、その件名に準ずるタイトルが付けられた添付ファイルをクリックするとマルウェアに感染してしまう、といったものです。
【参考リンク】
新たな2つのフィッシング「モバイルフィッシング」と「短縮URL」
モバイルフィッシングとは、スマートフォンOSそのものの脆弱性をつく攻撃やダウンロードアプリケーションを利用したマルウェアなどが代表的なもので、新たな脅威として注目されています。特に、スマートフォンのメールソフトやWebブラウザーでは、正当なメールかどうか、正しいリンク先かどうかが判別しにくいという課題があります。また、セキュリティ意識がさほど高くない若年層のユーザーが多いことも、被害が広がりやすい傾向に拍車をかけています。すでに、著名な携帯サイトを装ったフィッシングメールが確認されており、さらにAndroid Market上で、オンラインバンキング用のアプリケーションに見せかけてパスワードの情報を盗み出すマルウェアが販売されていたことも明らかになっています。
短縮URLは、Webサイトが使うURLを短く変換したものです。短縮URLサービスを使うことで、URLをアルファベット数文字程度にすることができるため、投稿に文字数制限があるTwitterやFacebookなどのソーシャル・ネットワークに利用されています。これを悪用し、フィッシングサイトに誘導する目的で、短縮URLを埋め込んだ記事を投稿する新手のフィッシング詐欺が2009年頃から登場しています。短縮URLに変換されたURLはどれもhttp://bit.lyのような同じドメインで表示され、それに続く文字列も本来のURLとは異なる文字列に変換されてしまいます。一般的なURLであれば見分けられる可能性があっても、短縮URLを見ただけでは不審なWebサイトへのリンク先かどうかが判断できないという問題があります。
特にスマートフォンの場合、Webブラウザー以外の専用クライアントソフトが利用されるケースも多く、Webブラウザー用に提供されている既存のフィッシング対策のセキュリティ機能では防ぐことができないなどの課題も明らかになっています。攻撃者は、常に新たな方法を研究し、フィッシング詐欺を目論んでいるということを忘れてはいけません。
追記: 金融機関はフィッシング対策のための専用アプリを提供しているところがありますので、そうした専用アプリを利用した方が安全です。注意すべきポイントは、必ず当該金融機関のサイトからアプリをダウンロードすることです。
心構えと具体的な対策
フィッシング詐欺に対抗するためには、日頃からフィッシング詐欺に対する新たな知識を持ち、怪しいメールやリンク先はクリックしないということが何よりも重要です。なお、フィッシング対策協議会では、「フィッシング対策ガイドライン」を公開しており、サービス事業者や消費者が考慮すべき要件を挙げながら、具体的なフィッシング対策を紹介しています。特に一般の方が考慮すべき対策は以下の通りです。【フィッシング詐欺】
・機微情報(センシティブ情報:個人情報の中でもプライバシーに関する情報で、漏えいすると不利益が大きいとされるもの)の入力を求めるメールを信用しない
・メールに記載される差出人名称は信用しない
・怪しいメールの判断基準を知る
・安全なメールサーバーを活用したり、類似性評価によるフィッシングメール判別機能を活用すること
・リンクにアクセスする前に正規メールかどうか確認する
【電子メール本文中のリンクの扱い】
・電子メール本文中のリンクには原則としてアクセスしない
・サービス事業者からの通知メール形式を TEXT 形式に設定する
・リンク先で機微情報の入力を求められた場合には、電話等でサービス事業者に真偽を確認する
【パソコンを安全に保つために】
・最新のセキュリティパッチを確実に適用する
・マルウェア対策ソフトウェアを適切に用いる
・Webブラウザーにフィッシングサイト判別機能を組込み活用する
・URLフィルタリングを活用する
【アカウント情報の管理】
・アカウントID/パスワードはサービス事業者別に設定する
・アカウント管理ソフトウェアを導入する
・全てのアカウントについて緊急連絡先を把握しておく
また、一般の企業では、フィッシングに対する従業員への啓蒙活動を十分に行うことはもちろん、ウィルス対策ソフトウェアやURLフィルタリングなどで厳密に管理する必要があります。同様に、スマートフォンへの対策については、MDMツール(スマートフォンをビジネスなどに用いる際に、運用管理の簡便化やセキュリティの強化などをサポートするツール。iPhoneではアップル社純正のツール、Android機などでは各ソリューションベンダーが開発したツールが存在する)などでアプリケーションを制限するなど、PCとは違う対策も行っておきましょう。さらに、被害に遭った企業は、企業名や自社ブランドを悪用されたことが公になることでイメージダウンを嫌う傾向がありますが、消費者保護の観点から積極的に情報を公開することが推奨されます。フィッシング対策協議会やJPCERT/CCなどに通報することで、サイト閉鎖なども可能になる場合もあります。積極的な情報公開を心掛けましょう。
【参考リンク】
