「ログイン三兄弟の活用を」Yahoo! JAPANのフィッシング対策

　経済産業省とフィッシング対策協議会の主催による「フィッシング対策セミナー」が都内で28日に開催された。米国の専門家グループによるフィッシング対策活動とともに、国内最大手のポータルサイト「Yahoo! JAPAN」で実際に発生したフィッシング事例および具体的対策が紹介された。

●ヤフオク騙るフィッシングサイト多数～個人情報入力画面で“http”を推奨?!

　28日のセミナーでは専門家による3つの講演、およびフィッシング対策協議会による活動報告が行われた。その1つ「Yahoo! JAPANにおけるフィッシング対策」では、ヤフーの戸田薫氏（R&D統括本部開発推進室セキュリティプラットフォーム技術）が登壇。Yahoo! JAPANを狙ったフィッシングの実例が紹介された。

ヤフー株式会社の戸田薫氏

　戸田氏はまず、フィッシングを仕掛ける犯罪者側の心理として「24時間いつでもどこでも、（切手代をかけずに大量のメールが送れるという）ネットならではの手軽さが逆利用され、悪いことをしてでも儲けたいという人が少なからずいる」と分析する。

　直近の逮捕事例としては、約140万人分のアカウントにフィッシングメールを送りつけ、そのうち2700人から実際にクレジットカード情報を詐取。その番号で通販商品を購入して私設私書箱に配送させ、さらに転売して現金を得ていたという。「首謀者は時給1000円でアルバイトを4人雇い、わずか5人で1億円近い金額を不正取得していたらしい。これだけの事件を比較的容易に起こせてしまうことに、フィッシング増加の理由を感じる」と戸田氏は続ける。

　Yahoo! JAPANの会員登録数は約2000万件。そのうち約800万件がYahoo!オークション利用時に必須となる有料プレミアム登録を行っており、それ以外にもYahoo!ポイントのような金銭関連サービスが多い。その規模の大きさゆえに、悪意のユーザーをも呼び込んでいるのが実態だ。

　戸田氏をはじめとしたヤフー社内の対策チームでは、中でもYahoo!オークションを狙ったフィッシングサイトが増加しつつあると分析。Yahoo!オークションをめぐる不正行為といえば、偽の出品をして代金だけを振り込ませる手段が知られている。ただしこの方法はID取得時の本人確認が徹底されて「使い捨てID」の取得が困難になったため、徐々に減少していった。

　その代わりに台頭してきたとみられるのが、他人のIDを不正入手したうえで偽装出品する「ID乗っ取り」だ。とはいえIDとパスワードが盗まれることは、クレジットカード番号も犯罪者側に知られてしまう可能性が高い。結果として被害がさらに拡大してしまうことになる。

　戸田氏はフィッシングの実例として、メールによる不正の実例を紹介した。題名や本文では個人情報の登録変更を促しており、From欄は「○○○@yahoo.co.jp」と正規のメールであるかのように偽装されている。しかし誘導先のフィッシングサイトのURLは「http://□□□.□□□.□□□/yahoo-actions.co.jp/」といった形式。ドメイン部分はYahoo! JAPANと関係なく、ディレクトリの指定文字列部分に「yahoo」あるいは本来の“auctions”と似せた文字列を記述してユーザーを惑わせている。

Yahoo!オークションを狙った不正行為には、時代とともに変化しているという	フィッシングメールの例

　また、フィッシングサイトのタイトルは「Yahoo! JAPANプレミアム」。本来の「Yahoo!プレミアム」というサービス名に似せ、さらに本文中では「個人情報の入力時は“http”通信であることを確認してください」というおかしな注意書きも見られた。Yahoo! JAPANにおいては個人情報入力画面のURLが必ず「https」になっているため、実際にはこの部分でもフィッシングを見分けられる。

　このほか、Yahoo! JAPANとは関係ない外部サイトでIDを収集する手法もある。まず偽の懸賞サイトなどをオープンし、メールアドレスやパスワードを登録させる。ここでYahoo!メール用のアドレスがまれに登録されると、フィッシングサイト開設者はそのアドレスとパスワードを使ってYahoo! JAPANへのログインを試みる。Yahoo! JAPANと偽懸賞サイトで登録したパスワードが同一だった場合、不正なログインに成功。IDが乗っ取られてしまう。怪しいサイトで個人情報登録しないのはもちろんだが、パスワードを使い回すことの危険さがこの例から伺える。

個人情報入力画面のURLが「http」であることを確認させるという奇妙な記述（本来ならhttps）	外部サイトでYahoo! JAPAN IDを集めるケースも

●“ログイン三兄弟”で被害抑制を

　不正行為の頻発に対し、Yahoo! JAPANではどのような対策をしているのだろうか。まずヤフー社内では、報告などをもとにフィッシングの疑いがあるサイトを検証。事実であった場合はそのサーバーをホスティングするISPなどに対し、サイト閉鎖依頼を行う。

　ただしフィッシングサイトは閉鎖や移転などを経て次々と発生している。閉鎖依頼が追いつかない可能性もあり、ユーザー側でもある程度の自衛が必要だ。そこで戸田氏は「社内で“ログイン三兄弟”と呼んでいるセキュリティ機能を使って、被害を抑制してほしい」と説明。具体的にはログインアラート、ログインシール、ログイン履歴という3つの代表的機能が役立つと語る。

　ログインアラートは、あらかじめ指定しておいた携帯電話用メールアカウントなどに認証成功を通知する機能。ユーザー自身がPCを使っていないタイミングでも、不正に気付きやすくなる。ログインシールは、ID・パスワードの入力時にユーザー自身しか知り得ない指定画像を表示するというもの。全くの外部サイトであるフィッシングサイト側からは指定画像の表示が原理的に困難なため、この有無で偽サイトかを判別できる。

　ログイン履歴はより直接的なセキュリティ機能で、ログインの成否や日時、IPアドレス、端末種別などを一覧表示してくれる。ブルートフォース攻撃（総当たり攻撃。適当な文字列を繰り返して認証成功を試みる）の判別に有効な手法だ。

　ログイン三兄弟に加えて、Yahoo!ツールバーによるフィッシング警告機能も提供している。各サイトを表示する際、「Yahoo!あんしんねっと」の情報をもとにフィッシングの疑いを検知する。2月1日からはフィッシング対策協議会、JPCERTコーディネーションセンター（JPCERT/CC）提供のデータベースも反映され、国内外のサイト一般が検知対象になる予定だ。

Yahoo! JAPANでは複数の不正ログイン防止機能を提供。「ログイン履歴」もその1つ	ユーザーへの啓蒙活動、法整備なども視野に安全対策を進めたいという

　一方、不正や被害の防止には、こういった技術的な対策のほかに、ユーザー自身の意識向上もまた重要となる。戸田氏は「最新の調査では、90.4％ものインターネット利用者にYahoo! JAPANをご覧いただいている。多くの人が訪れるサイトだからこそできる啓蒙活動もあるはず」と説明。ID・パスワードを守るための具体的テクニックや、一般的なセキュリティ知識をまとめた特集記事なども積極的に掲載している。

　最後に戸田氏は、不要になったIDを売買する行為の危険性も指摘。「オークションを利用しなくなったからといってYahoo! JAPAN IDを第三者に売ると、不正出品などに使われて犯罪の加害者になる可能性もある」と解説する。法的なID売買規制の実現なども視野に、セキュリティ技術の向上、啓蒙活動など複合的な観点からの安全対策を進めたいとしている。

●URLブロックリストの効率的作成を目指すAPWG

　ヤフーの戸田氏による講演に先立って、米国を拠点に活動する非営利団体「APWG（Anti Phishing Working Group）」の副事務総長、Foy Shiver氏の基調講演も行われた。

Anti Phishing Working Group副事務総長のFoy Shiver氏

　Shiver氏は、フィッシングをはじめとした「eCrime」（PCなどの電子機器を利用した犯罪）が窃盗などの従来型犯罪とは異なる点を強調。被害地域や容疑者の所在地が全世界レベルと広範なため、限りある予算、担当者の知識不足などの要因が重なって十分な対策が行き届かないと指摘する。

　実際のフィッシング被害についても、景気悪化などを受けて多様化。求人を装って失業者に個人情報を入力させるケースもあった。ほかにも、企業の社長など特定人物だけを狙った「スピアフィッシング（銛で魚を刺し捕らえる様子になぞらえて）」などが発生しているという。

　APWGではフィッシングの具体的対策として、会員各社と協力しながらURLブロックリストの作成などを手がけている。複数の企業から寄せられたリストをAPWG側でまとめ、中立的なデータベースとして公開。万一誤った情報が登録され、何らかの経済的被害が発生した場合でも、企業間で訴訟を起こさない取り決めをあらかじめ盛り込んだ点などが効果を上げているという。

　フィッシングの捜査にあたっても、Shiver氏は「訓練を受けたIT専門家と、訓練を受けていない法執行機関が協力するのは必然だ」とし、官民一体となった対策の重要性を訴えた。