Internet Watch logo
記事検索
バックナンバー
【 2008/10/08 】
第30回:パスワードのセキュリティ
[11:18]
【 2008/09/24 】
第29回:USBメモリのセキュリティ
[12:31]
【 2008/09/17 】
第28回:メール編(17)迷惑メールをめぐる法改正
[12:51]
【 2008/09/03 】
第27回:メール編(16)迷惑メールを無視する(下)
[15:11]
【 2008/08/27 】
第26回:メール編(15)迷惑メールを無視する(上)
[11:37]
【 2008/07/30 】
第25回:メール編(14)迷惑メールを回避する
[11:51]
【 2008/07/23 】
第24回:メール編(13)迷惑メールに潜む罠(下)
[11:25]
【 2008/07/16 】
第23回:メール編(12)迷惑メールに潜む罠(中)
[11:18]
【 2008/07/09 】
第22回:メール編(11)迷惑メールに潜む罠(上)
[11:18]
【 2008/07/02 】
第21回:メール編(10)迷惑メールが来るキッカケ(下)
[11:23]
【 2008/06/25 】
第20回:メール編(9)迷惑メールが来るキッカケ(上)
[16:01]
【 2008/06/18 】
第19回:メール編(8)「迷惑メール」が氾濫する理由
[11:15]
あなたの身近なセキュリティ

第7回:WWW編(5)フィッシング詐欺で「釣られない」ために


 フィッシング詐欺とは、日本でここ数年社会問題になっている「詐欺事例」のオンライン版と考えればわかりやすいと思う。

 詐欺事例として有名な、いわゆるオレオレ詐欺は、最近縁のなかった子供・孫に重大事件が発生したと電話で騙り、解決金・示談金を振りこませるという手法からスタートした。今では注意勧告も進んだ上、マネーロンダリング防止のため10万円以上の現金によるATMからの振込みができなくなっていることから、ピーク時に比べると被害は減少していると思われる。ちなみに筆者のもとにもオレオレ詐欺の電話がかかってきたことがあるが、筆者が家で寝ている際に電話がかかってきたようだ。

 また、オレオレ詐欺以前では、ハガキやメールを使って、債権回収会社(サービサー)を騙り「○○使用料(多くはアダルト番組)」を徴収する詐欺があった(これも家に届いた)。最近では、「懸賞に当選したが、現金を振り込むには手数料が必要」など別の方法も出ているが、これらに共通しているのは基本的に「ビックリさせて、そのスキをつく」という手法だ。要するに、日本で現在広まっている詐欺手法は、お金という最終収集物を直接得ようとしている。

 一方、欧米ではフィッシング「Phshing」と呼ばれる「個人情報取得詐欺」が数年前から横行している。例えばクレジットカード番号やオンラインバンキングのID・パスワードなど、お金そのものではないものの、お金を管理するために重要な情報を盗むためのオンライン手法がフィッシングだ。なお、Phishingというのは釣りのFishingから来ているが、区別のために発音が同じPhishingという言葉になったという。


フィッシング詐欺とオレオレ詐欺の共通点

イーバンク銀行を騙ったフィッシング事例
 さて、冒頭でオレオレ詐欺の話をしたのは、「ビックリさせたスキをつく」という行動様式がフィッシング詐欺にも共通するためだ。オレオレ詐欺が社会問題になったように、フィッシング詐欺もやり方次第では日本でいつ大問題になってもおかしくないと言われている。

 しかし日本ではこの数年間、大規模なフィッシング詐欺は起きていない。少なくとも筆者のもとに日本語の「よくできたフィッシングメール」は届いていない(が、海外フィッシングメールはそれなりに届く)。日本でフィッシング詐欺が問題にならなかった理由として考えられるポイントは、大きく2つあるだろう。

1)日本人のオンライン利用がまだ限定的

 フィッシングでよく狙われるターゲットは、直接現金の取得につながるオンラインバンキングとクレジットカード番号と社会的な個人情報としての「国民背番号」だ。

 オンラインバンキングはそれなりに広まりつつあるものの、まだ全面的には普及していない。また、後で述べるサイトの作りの関係でまだ大規模な問題にはなっていない。さらに国民背番号制は、現時点では日本で実現していない。

2)海外フィッシャーが仕掛けるには「言葉の壁」がある

 これまで筆者のもとには、日本語でのフィッシング詐欺メールが何度か届いたが、それらは「まともな」文章ではなかった。また、メールに記載されたURLをクリックした先のフィッシングサイトも、オンラインバンキングのサイトであるはずなのに、クレジットカード番号を要求するなど明らかにおかしな情報を要求していた。これでは騙されることはないだろう。日本のオレオレ詐欺師がフィッシングサイトを作るというシナリオも考えられるが、そこまでの技術力を持っていないか、現段階ではオレオレ詐欺のような手法の方が「効率的」と考えていると思われる。

 とはいうものの先日、イーバンク銀行を騙ったフィッシング事例が発生している。報道されたサイト画像を見る限り、かなり「出来のよい」サイトのようだ。こうしたことから、フィッシングに関しては今後とも注意する必要があるだろう。


アンチフィッシングツールではすり抜けられることも

「Windows Live ID」の盗用を図るフィッシングサイト
 それでは、フィッシング詐欺の被害に遭わないためにはどうしたらよいだろうか?

 フィッシングに対する手っ取り早い解決策は、ブラウザにアンチフィッシング機能を入れればよい。現在の統合セキュリティツールならばアンチフィッシング機能が含まれているし、先月から自動更新での配布が始まったInternet Explorer 7(IE7)でもアンチフィッシング機能を搭載している。

 なお、これらのアンチフィッシングツールを利用するには、最初の実行時に確認画面が出る。というのも現在のアンチフィッシング機能は、ユーザーがアクセスするURLを収集し、URLに問題があるかどうかを判断する方法をとっているためだ。つまり、アンチフィッシングツールは、その気になればユーザーがどのURLにアクセスしたかという履歴を入手する「スパイウェア」になりかねない。このため確認画面では、URLを収集することと、その情報をフィッシング判定のデータとしてのみ使用する、という確認をしている。また、最近ではビヘイビア(振る舞い)分析として、「Webページの怪しい行動」をチェックして警告を出す製品も出てきている。

 とはいえ、アンチフィッシング機能がすり抜けられるケースもある。2008年2月には、「Windows Live ID」盗用を図るサイトが登場し、IE7ではこれを検知できなかったというニュースを覚えている人もいるだろう。このとき筆者は、ちょうどとあるセキュリティソフトのベータ版を試用していて、このフィッシングサイトにアクセスしてみたが、こちらでもすり抜けてしまった。


「釣られない」ためには「クリック前に考えてみる」

2004年のVISAカードフィッシング事例。Windows XP SP1まではアドレスバーの上に文字をかぶせる「偽装」が可能だったが、SP2では修正され画面のような間抜けな状態になっている。また、このフィッシング詐欺を仕掛けた人物は、日本のWebブラウザに文字位置を合わせていない

INTERNET Watch編集部あてにイーバンクを騙るフィッシングメールが届いたが、「INTERNET Watch編集部のメールアドレスでオンラインバンキングを契約するハズがない」ので、このメールは「おかしい」と判断できる
 つまり、フィッシング詐欺を阻止するためにはツールだけに頼るのではなく、自らの行動も必要ということになるだろう。現在のフィッシング詐欺は、「ビックリさせる方法」としてスパムを使っているため、まずは届いたメールを吟味するところからはじめたい。

・その契約を本当にしているのか? 登録したメールアドレス以外に届いているか?

 フィッシングメールは無差別に送られているため、フィッシングサイトが騙るサービスに契約していない人のもとにも届くことが多い。また、契約した人あてに送られる場合でも、そのサービスで登録したメールアドレスと異なる場合もおかしいといえる。

 先のイーバンクを狙ったフィッシング事例では、INTERNET Watch編集部あてにも同様のフィッシングメールが届いていたようだが、「INTERNET Watch編集部のメールアドレスでオンラインバンキングを契約するハズがない」ので、このメールは「おかしい」と判断できる。

・HTMLメールで届いているか?

 フィッシングメールは、リンクをクリックさせるようにするためにHTMLメールで届くことが多い(この場合、会社ロゴなどが表示できるため信用させやすい)。対抗策としては、通常送られるメールをテキストメール指定で登録するとすぐに判断できる。

・メールはどこから届いているか?

 見るべきは「From:ヘッダ」ではなく「Received:ヘッダ」。この辺の詳しい話は後日行ないたい。

・リンク先アドレスは?

 特にHTMLメールの場合、リンクにカーソルを当てた際、ステータスバーの表示とドメインの表示が異なれば、フィッシングサイトとわかるだろう。また、当然ながら、通常サイトと異なるドメインであってもアウトだ。日本の会社に限定すればJPドメイン以外のサイトは、疑ってかかるくらいの気持ちでいた方がいいだろう。

・普段と異なるメッセージ形式ではないか?

 先のイーバンクのフィッシング事例のメール形式は、普段イーバンクから届くメール形式とは異なるものだ。ただし、フィッシングサイトの作りが非常に巧妙になっている状況を考えると、フィッシングメールの形式も今後、公式と限りなく似通った形式になるだろう。

 現在のフィッシングサイトは、公式サイトのHTMLをベースに書き換えていることが多いため、サイトの作りから判断するのはムリがある。アクセスしてから違いを見つけるのではなく、アクセス前にフィッシングかどうかを判断するのがよいだろう。

 冒頭でも述べたように、「衝撃的な事柄でビックリ」させるのがフィッシング詐欺の常套手段だ。こうしたことから、「クリックする前にまず考える」というのが、フィッシング詐欺を防ぐ最大の防御策といえるだろう。

 別の対応策としては、「ちょっと待ってみる」とこともオススメしたい。フィッシングサイトは通常すぐに存在がバレるため、大規模な事例ならばニュースになる。セキュリティソフトによるURLブラックリストに載るのもタイムラグがあるため、メールが届いてすぐにそのサイトに訪問することをやめるだけで、じっくりと考える時間が生じるだけでなく、その間にニュース報道やセキュリティソフトの対応でブロックできる。


先週の気になったセキュリティ関連ニュース(3/3~3/9)

USBメモリで感染する「オートラン」ウイルスの感染報告が増大中
http://internet.watch.impress.co.jp/cda/news/2008/03/04/18662.html
 この手のマルウェアはUSBメモリだけでなく、ポータブルHDDやポータブルミュージックプレーヤーでも問題になるので注意したい。また、製造現場で感染してしまっている事例も過去にいくつかあるので要注意だ。

ヤフオク、ソフトバンクモバイルの新製品を出品禁止へ
http://internet.watch.impress.co.jp/cda/news/2008/03/06/18699.html
 筆者はヤフオクで「X01T」を買おうとしていた矢先の発表だった。その上落札を逃したら詐欺メールと思われるものも来た。これは次シリーズ「メール編」で公開を予定している。

3月の月例パッチは“緊急”4件、いずれもOffice関連の脆弱性を修正
http://internet.watch.impress.co.jp/cda/news/2008/03/07/18716.html
 先月は非常に多かったのでその反動だろう。Officeスイートを入れるお金のない(?)筆者は関係なしか。Windowsも重要な更新が予定されている。

自らマルウェアと名乗るウイルスが登場。偽セキュリティソフトの宣伝用?
http://www.viruslist.com/en/weblog?discuss=208187485&return=1
 マルウェア名で検索すると知られていないセキュリティソフト名が出てくるところから考えると、そのソフトを売り込みたいための宣伝策のような感がある。「脅威の自作自演」タイプ。

偽セキュリティソフトを販売していた女性が韓国当局に逮捕される
http://www.sophos.com/pressoffice/news/articles/2008/03/lee-shin-ja.html
 先の「オレはウイルス」以前の代表的な偽セキュリティソフト販売策がこれだ。バナー広告で「脅威が見つかりました」的な自作自演プロモーションも日本にいてもかなり目にした。

リアルタイムスキャンが可能なGPLライセンスのアンチウイルスソフト
http://sourceforge.net/projects/moonav/
 ClamAVをベースに他の機構も組み込んだGPLライセンスのソフト。以前、広告付の無料セキュリティソフトを紹介したが、タダがよければこちらの方がよいかもしれない。



2008/03/12 11:13
小林哲雄
中学合格で気を許して「マイコン」にのめりこんだのが人生の転機となり早ン十年のパソコン専業ライター。主にハードウェア全般が守備範囲だが、インターネットもWindows 3.1と黎明期から使っており、最近は「身近なセキュリティ」をテーマのひとつとしている。

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.