Internet Watch logo
記事検索
最新ニュース

フィッシング詐欺はユーザーも気づかないステルス型へ〜APWGキャシディ氏


セキュアブレイン代表取締役社長兼CEOの成田明彦氏

米国最大のフィッシング対策ワーキンググループ「Anti-Phishing Working Group」事務局長のピーター・キャシディ氏
 セキュアブレインは1月27日、2004年末に国内企業としてはじめて参加した米国最大のフィッシング対策ワーキンググループ「Anti-Phishing Working Group(APWG)」事務局長のピーター・キャシディ氏を招き、米国のフィッシング詐欺の現状と対策への取り組みに関するプレス向けの説明会を行った。

 セキュアブレイン代表取締役社長兼CEOの成田明彦氏は、国内でのフィッシング対策への取り組みについて、「アメリカでのフィッシング被害は恐ろしいものになってきており、前の会社で経験したウイルス対策の立ち上がりと比べても経済産業、総務、警察、関係省庁が積極的な施策を講じている」とした。そして「11月発表の対策ソリューションについては、2月初めにベータ版を提供予定で、3月末のリリースを目指している。国内でフィッシング対策に関する啓発活動も今後活発化し、アメリカのような状況を水際で止めることができれば、会社としての存在意義もあると考えている」と語った。

 APWGのレポートによれば、2004年11月中に報告されたフィッシングサイトの数は1707件で、これは先月の1546件から約10%増となっている。サイト残存期間は平均6日だが、1カ月と長期間維持されるサイトもあったという。キャシディ氏によれば7月以降の増加率は24%とのことだが「相対的にはフィッシングサイト報告数の伸びは鈍化しているが、実際のサイトは急増するとみられる」と注意を促した。

 フィッシング詐欺の標的となる「eBay」や「Citibank」などのブランドの数は、調査を始めた2003年11月以降の累計で131。この数カ月間は42〜46で安定していたが、この2カ月で55に増加した。新規9件のうち8つは金融機関だ。全体で見ても標的となるのは金融機関が多く、その割合もこれまでの70〜80%から2カ月で85%へと増加している。


フィッシング詐欺の発生数の動向 ブランド別のフィッシング詐欺動向 業界別のフィッシング詐欺動向

メール誘導によるソーシャルエンジニアリング的なフィッシングの手法
 フィッシング詐欺の手法としてAPWGに報告されるものの大半は、依然として「古典的なソーシャルエンジニアリング的手法が中心」だという。これはメールでユーザーを偽装サイトへおびき出し、口座の再認証要求や情報更新、疑わしい取引履歴などを理由に、クレジットや信用証明を入力させるといったもの。例えばHTMLメールではFromアドレスを詐称し、ロゴやデザインも本物そっくりに真似るなどして、「http://www.ebay.com.〜@xxx.xx.xx」といった偽装リンクによりユーザーを誘導する。

 またこういったフィッシング詐欺の手法は、IMを通じて偽サイトへ誘導する、オンライン口座にアクセスした際にポップアップを呼び出して個人情報を入力させる、マルウェアによりHostsファイルを書き換えてWindowsのDNSエントリに上書きし、正規のURLを入力しても偽のサイトに誘導させる、JavaScriptなどを用いてキーロガーをダウンロードさせるウイルスやワームを、クロスサイトスクリプティングの脆弱性を突いて第三者のWebサーバーに埋め込む、というように進化を続けている。

 こうした手法では、例えばユーザーがHTMLを開くだけで、トロイの木馬型のキーロガーをダウンロードさせるWebサイトへ、注文確認メールなどで誘導し、トロイの木馬にあらかじめ登録されたサイトを訪問した際のキー入力情報がメールで自動送信されてしまう。

 APWGでは、IISの脆弱性を用い、WebサーバーがホストしているWebサイト内のすべてのページに悪意のあるJavaScriptを追加し、さらにマルウェアの「Download.Ject」がキーロガーをダウンロード、取得した個人情報やログインID/パスワードを転送する3段階の手順からなるステルス攻撃も発見したという。キャシディ氏は「今後も発達の余地が残されており、段階的な攻撃がさらに巧妙化していくことが考えられる」とした。


 アメリカでは、詐取した個人情報を元にATMカードを偽造し、現金が引き出されたり、カードで購入した物品がオークションで転売されるなど、企業ビジネスや消費者に深刻な影響を与えている。一度詐欺の被害に遭うと消費者自身の信用も失われるため、口座再開には煩雑な手続きが必要となる。このためブランドイメージの悪化だけでなく、顧客サポートコストも増大する。キャシディ氏は「被害金額はまだそれほど大きくないが、詐欺手法の自動化が進めば被害額は膨大になる可能性がある」とした。

 そして「新たなフィッシングモデルではユーザーが介在する必要がなくなる。今は移行期の最中で、こういった手法への変化は予想より早く進展している。今後1年程度で、ステルス型の攻撃が蔓延していくだろう」と語った。

 クラッカーの集団は、パッチ未適用のPCをメール送信の踏み台とすることが多く、標的となるのは、ブロードバンドでインターネットに接続された家庭用PCであることが大半だという。またフィッシャーは情報を受け取った証拠を隠滅するなど、「技術の高度化により、大がかりにネットを使って、ステルス型の攻撃を仕掛け、情報を盗めるようになっている」とした。US CERTの報告では、2004年に登場したワームは、少数の例外を除き、犯罪のためのエージェントを送り込むことが目的であるという。またこうしたテクニカルなステルス攻撃は、組織化された集団による犯罪として行われており、2004年10月にはブラジル北部を拠点とする53人の集団がFBIにより摘発されている。

 このようにフィッシングの手法は、いくつかが組み合わされ、さらにウイルス同様に変異のスピードも速いため、「確実な方法はない」としながらも、同氏はいくつかの解決策を挙げた。

 そのひとつめは“検知”。その手法としては偽サイトに用いられやすい似通ったドメイン名登録の監視、クライアントやISPの側でのスパムフィルタリング、Webサーバーのログスキャン、フィッシングに利用される企業サイトののWebサーバー監視などを挙げた。さらに「自分で探して検知するのは時間がかかり、すでに攻撃を受けていることもある」とし、APWGの警告、掲示板やハッカーフォーラムの利用、また大手金融機関では、監視企業に依頼して、事前の警告を依頼するなどの対策もあるとした。


クロスサイトスクリプティングへの対策方法

IPアドレスを用いたメールの認証
 2つめは“防止”だ。Webサーバー側での防止策としては、2要素認証、ユーザーがWebサーバー特定する、またフィッシングサイトのブラックリストを表示するといったソリューションのほか、クロスサイトスクリプティングやSQLインジェクション対策となるアプリケーションゲートウェイを用いたフィルタリングなども挙げた。

 さらにクライアント側での防止策として、「Fromを詐称できる点が根本的な問題」としてメールの認証がその有効な解決策になるとした。その方法には、IPアドレスを検証するSender IDやSPFと、電子署名を用いるS/MIME、DomainKeys、Cisco Internet Identify Mailプロトコル(IIM)がある。

 IPアドレスの検証では、送信メールサーバーのドメイン名を受信者のメールゲートウェイでチェックすることで、これが異なれば受信しない手順となる。キャシディ氏は「将来的なスパム対策には有効だが、送信サーバーは変更する必要がない一方で受信、転送、メーリングリスト、ゲートウェイへの変更が必要で、Fromが信頼できるかどうかをユーザーに明示できない」とその問題点を挙げた。

 電子署名を用いる方法は、受信側のメールクライアントが、公開鍵をもとに送信サーバーでサインされた証明書を検証するもの。S/MIMEは、「すでに確立された方法で、ユーザー側がデスクトップで署名を確認でき、メール中継の変更も必要もない」とした一方で、「送信メールサーバーの修正とデスクトップ証明書の使用が必要で、管理が大変になる。またWebメールプロバイダでも署名を検証する必要があり、新たなコストが発生する」とした。

 DomainKeysとCisco IIMについては「メール中継の変更がいらない、サイズが小さなヘッダ署名のため、今後のスパム対策に活用できる。ネット上にメールが送られると、直前のリレーサーバーではなく送信元を検証できる。ただユーザー側でFromの信頼性を確認できず、送受信双方のメールサーバーに変更が必要で、標準とする動きもない」と述べた。

 フィッシングサイトの“閉鎖”については、ISPなどのバックボーンで、大手ブランドからフィッシャーサイトのトラフィックをフィルタするなどの手法が考えられ、「米政府と金融機関が法制化へ向けた協調作業を進めている」という。アメリカでは、フィッシングサイトのクイックテイクダウンサービスを提供する企業も登場しており、ヨーロッパでは、銀行サイトへのテスト攻撃の段階でフィッシングを検知し、フィッシングサイトを閉鎖させることに成功した事例もあるという。また某大手銀行では2004年から、カードを偽造しても使えないようATMカードの検証用ナンバーを用意し、一定の効果を上げているとのことだ。

 最後に同氏は「APWGが発足して1年で学んだ教訓は、攻撃は今後も増加するということ。しかし善の技術も悪と同じように革新的であり、必ず対応できると考えている」と語った。


関連情報

URL
  Anti-Phishing Working Group
  http://www.antiphishing.org/
  セキュアブレイン
  http://www.securebrain.co.jp/
  フィッシング詐欺のデモサイト(セキュアブレイン)
  http://demo.securebrain.co.jp/demo3/

関連記事
セキュアブレイン、フィッシングサイトを“赤信号”で警告する「PhishWall」(2004/11/24)


( 岩崎宰守 )
2005/01/28 21:37

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.