1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 新しいTLD創設はフィッシング詐欺の有効な対策となるか

新しいTLD創設はフィッシング詐欺の有効な対策となるか

フィッシングは、今やネット上の最大の脅威の一つとなっている。日経BPの記事によれば、フィッシング対策の業界団体であるAnti-Phishing Working Groupの調査で、2006年5月以降、毎月2万件のフィッシングが新しく報告されているということだ。

銀行が行うべきフィッシング対策を考察する(IT Pro)

フィッシングの代表的な手口は、金融機関などの信用力、知名度の高い会社とそっくりの偽サイトを作り、不特定多数のインターネットユーザーにメールを送信する。

メールには、「口座パスワード確認」や「オンライン上でのご本人確認が必要となります」などのもっともらしい用件が書かれ、サイトにアクセスして手続きを取ることを推奨するような文面となっている。

そこでアクセスすると、前述した偽サイトに誘導され、金融機関の口座番号やクレジットカード番号などの個人情報が詐取されてしまうというものだ。

つまり、フィッシングの大半は、「本物そっくりの偽サイト」を用意した上で実行されるということである。


金融機関専用の新TLDの創設が対策に?

フィッシングの有効な対策の一つとしてあげられるのが、セキュリティ対策企業各社から市販されているフィッシング対策ツール(ソフト)である。これをウイルス対策ソフトのように、使っているパソコンにインストールすると、悪意のあるサイトにアクセスしようとすると、警告画面が表示されたりするというものだ。

こうしたユーザーレベルでの対策の他に、有効なフィッシング対策はないのか。ちょうど、上で引用した日経BPの記事に「金融機関専用のTLD(トップレベルドメイン)を新設せよ」という提言があったので引用したい。

これは、フィッシングの大半が「本物そっくりの偽サイト」を用意する点と関係が深い話である。

蔓延する銀行関連のフィッシング詐欺から一般市民を守る方法は,他にないのだろうか。先日,フィンランドF-SecureのMikko Hypponen氏は「Foreign Policy」誌に掲載された「21 Solutions to Save the World:Masters of Their Domain」というの短い記事のなかで,非常にもっともな提案をしている。その提案はあまりにも当たり前のことなので,まだ誰もそれを実行に移していないのが筆者には信じられないほどだ。

(中略)

つまり、ドメイン名やIPアドレスの管理業務を担当する非営利組織であるICANN(Internet Corporation for Assigned Names and Numbers)が「.bank」のような新しいトップ・レベル・ドメイン(TLD)を定めて、そのレベルには合法的で、認証を受けた金融機関のみが名前を登録できるようにすればいい、というのだ。

TLDは、インターネットで使われるドメイン名の最後尾のコードのこと。「com」や「jp」といえばピンと来るだろう。

多くの金融機関は、Webサイトに「com」や「jp」といったドメインを使っている。当然、悪意の犯罪者は偽サイトを用意する際に、本物そっくりのドメイン名でサイトを作るわけだが、「com」や「jp」などの一般的なドメインであれば、偽サイトの制作も容易である。

そこで、「bank」のような金融機関専用のTLDを創設して、そこには金融機関しか登録できない(適格性の認証に厳しい条件を課すなどして)ようにすれば、悪意のサイトの抑止に効果があるのではないかというものである。

<要点の整理>
・金融機関を騙ったフィッシングが多い
・問題は、犯罪者にとって偽サイトが簡単に作れる点にある
・そこで、金融機関専用のTLDを創設したらどうか
・認証を受けた金融機関しか、専用のTLDを使用することができない
・そのTLDが浸透すれば、それ以外のドメインを使ったサイトに疑いの目を向ける効果が期待できる

その上で、趣旨に賛同する金融機関数社からなるコンソーシアムを設立し、新TLDの創設をICANNに対して働きかけるというような、具体的なドメイン創設の手順についても、記事では言及されている。


実効性を問題視する声も

一方で、こうした提言に対して、当然ながら賛否両論あるようだ。

詐欺防止の新ドメイン「.bank」創設を? ネットで議論(ITmedia)

この提言に対し、質問や反論も多数寄せられている。セキュリティコンサルタント会社SecTheoryが運営する「ha.ckers.org」のブログでは「.bankで経験則の問題は一部解決されるかもしれないが、さらに多くの問題が作り出される」との見方を示した。

その理由として、銀行が外部のマーケティング部門や地域支店、ローン担当オフィスなどと連携していることや、フィッシング詐欺の最大級の標的となっているAmazon、eBay、PayPal、AOL、MySpaceといったサイトは.bankを利用できないことを挙げている。また、リダイレクトやクロスサイトスクリプティング(XSS)などを使った攻撃も防げないと指摘した。

確かに、金融機関専用のTLDでは、他のネットサービスを提供する著名な企業が標的となったフィッシングは防げないという指摘はもっともであるように思える。

また、フィッシングそのものの手口が、より巧妙化、多様化している点も見逃せない点であろう。

<指摘されている問題点>
・金融機関の関連会社では「.bank」が使えない
・ドメイン名が何であるかについて疑いを持たない顧客もいる
・ブラウザのセキュリティホールをついてキーロガーやトロイの木馬のような悪意のプログラムを仕込むといった手口は防げない
・金融機関以外の「標的となりうるサイト」は従前通りのまま

確かに、TLDの創設だけでフィッシングを食い止めることは難しいかも知れない。当然ながら対策ツールの開発や、ユーザー側が日頃からセキュリティ情報に高い関心を持つということも大事である。

今後、業界挙げての組織的対策は、ますます重要になると考えられる。

関連キーワード:

ICANN

TLD

VOIP

  • 「Iframe」による被害が多数報告?ソフォスのウイルス傾向レポート?
  • カテゴリートップへ
  • Zlob(ゼットロブ)とは