1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. フィッシング最新動向について

フィッシング最新動向について

ネット上の代表的な不正行為の一つとされるフィッシングについて、米国のフィッシング対策の業界団体であるAnti-Phishing Working Group(APWP)の事務局長を務めるピーター・キャシディ氏のインタビュー記事が掲載された。

これによると、フィッシングの件数自体は減少傾向にあるものの、その手口は、より確実に個人情報を盗み取るために変化しているという。

現行のフィッシング対策はエンジニアの「机上の空論」?(@IT)


より組織化され凶悪化される傾向

記事によると、フィッシング詐欺の届出件数自体は、2007年9月から11月にかけて連続して減少している。その一方で、犯行が組織化され、個人情報や金銭関連情報の詐取をより明確に動機づけられた手口の凶悪化が進んでいるという。

フィッシングの代表的なステップを列記すると以下の通りとなる。

(1)金融機関などの信用力、知名度の高い会社とそっくりの偽サイトを用意する
(2)不特定多数のインターネットユーザーにメールを大量送信する
(3)「口座パスワード確認」などのもっともらしい用件とともに偽サイトへのURLを記し、ユーザーを誘導
(4)偽サイトにアクセスしてきたユーザーに、金融機関の口座番号等の個人情報を入力させ、詐取

記事によると、組織化された「ネット犯罪経済圏」とでもいうべきものができあがっており、マルウエアの開発や脆弱性情報などがやり取りされているとのこと。

また、フィッシングメールの文面を、英語以外の言語に翻訳する役割や、メールを拡散させるためのサーバーやネットワークといったインフラを用意する役割を担当する人間もおり、「経済圏」はどんどん拡がっていると警鐘を鳴らしている。

記事を要約すると、フィッシングの手口の最新の傾向は以下の4点に集約されるという。

(1)企業への標的集中化:
企業の機密情報等にアクセス可能な要職に就いている人物に狙いを定め、メール文面等をカスタマイズするケース
(2)一般消費者への標的集中化:
小規模な銀行の顧客に狙いを定め、メール文面にそのターゲットの名前などの情報を記すことで成功率を高めるケース
(3)英語以外の多言語化(より組織犯罪化が進む)
(4)キーロガートロイの木馬といったマルウエアとの連携強化


高度化する手口への対策について

こうした傾向を裏付けるように、記事では、個人情報や金銭関連の情報を詐取しようというマルウエアの比率が高まっていることを指摘している。

「この数年で、マルウェア開発者の本質が根本的に変わった。数年前は個人情報や金銭関連情報を盗み取ろうとするマルウェアの比率は、全体のうちほんの数%に過ぎなかったが、2005年には50%、2007年には70%を超えるに至っている」(同氏)

では、より組織化され凶悪化するフィッシングへの対策はどう考えたらよいのだろう。

記事の中で、上述したキャシディ氏は、フィッシング詐欺対策は、強固な認証が基本になるだろうと言及している。

一方で、対策のためのテクノロジーは、一般のユーザーにとって分かりやすいものであるべきだとも主張している。

同氏が1つの例として挙げたのは、ほとんどのWebブラウザが実装している「鍵マーク」だ。これは暗号化通信が行われていることを示す表示だが、画面の外枠(Webブラウザの枠)に表示されるのが正しい姿だ。しかし、ある大学の調査によると、鍵マークがWebコンテンツの中に表示されているだけでも、「安全だ」ととらえてしまうユーザーが多かったという。

これに対し、APWGでは、「ユーザーに対する教育」の手法を模索しているという。例えば、ISPと協力して、発見されたフィッシングサイトをただ閉鎖するだけでなく、ユーザーを積極的に啓蒙していこうという取り組みである。

「(中略)そのサイトへのリンクをクリックしたときに『このサイトは閉鎖されました。なぜならばフィッシングサイトだからです。身を守るにはこういった点に注意しましょう……』という文面を表示させる取り組みについて話し合っている」という。

フィッシング対策は、対策ツールの開発といったテクノロジーの進化はもちろん、ユーザー側のセキュリティ意識の高まりが大事なことは言うまでもない。

<当ブログ内の関連記事>
新しいTLD創設はフィッシング詐欺の有効な対策となるか

  • マルウエア生産国、ワースト1位はロシアとの報告
  • カテゴリートップへ
  • NAPとは