幕張メッセで開催中の「CEATEC JAPAN 2006」で5日、セキュアブレインの星澤裕二プリンシパルセキュリティアナリストによる「巧妙化するオンライン詐欺」と題した講演が行なわれた。星澤氏は、「オンライン詐欺の中でも今一番話題になっているもの」として、「フィッシング」と「ワンクリック」について取り上げた。
● フィッシング対策はメールとWebの両面から
星澤氏はまず、フィッシングサイトに誘う手口としてメールの事例を紹介した。フィッシングメールは、HTML形式のメールが多い。理由は、画面上に表示されるサイトのURLを偽装できるからだという。例えば、「<a href="フィッシングサイトのURL">http://有名なサイトのURL</a>」といった偽装や、画像にリンクを貼ることが簡単にできてしまう。
フィッシングメールにより移動したサイトでは例えば、本物のサイトをバックグラウンドにして、偽者のサイトをポップアップで前面に表示させるといった偽装が施されている。ポップアップ画面中にある「ID」や「パスワード」の入力フォームは偽者であり、そこに書き込んで送信すると、ユーザーの情報がフィッシングされる仕組み。「これだけ簡単な手法で騙されてしまうということを知ってほしい」(星澤氏)。
また、代表的なフィッシング対策である「アドレスバーのURLを確認する」方法の落とし穴を指摘。偽サイトであることを隠すために、本物のサイトのURLが表示されたアドレスバーを模したポップアップ画面を、ブラウザのアドレスバー部分の前面に重ねて表示する手口があるという。ただし、Windows XP SP2以降であればこの手口を無効にできる。
さらに、XP SP2に対する手口も紹介。標準のアドレスバーを非表示にして、偽のアドレスバーを作成する手口があるという。偽のアドレスバーの下はフレームになっており、アドレスバーにURLを入力してEnterキーを押すと、指定したサイトのコンテンツを表示するなど、標準のアドレスバーと同じように機能する特徴を持つ。
このほか、フィッシングメール対策として一般化しつつある、スパムフィルタリングをごまかす手法や、ソーシャルエンジニアリングの手口として、本物のURLよりも簡潔で“本物らしいURL”を表示する手法があることを紹介した。加えて、「SSLを使ったフィッシングサイトも増えている」という。
星澤氏はフィッシングへの自衛手段として、「メールのヘッダを調べる」「メール中のリンクはクリックしない」「個人情報をメールで送信しない」ことなどを挙げたが、「自分で対策を講じるのは負担がかかるため、フィッシング対策製品やソリューションを利用するのも有効」と述べた。「製品やソリューションを利用したからといって100%対処できるわけではないが、負担は減る」という。
● 最も悪質なのはワンクリウェア
次に星澤氏は、ワンクリック詐欺について説明した。「ワンクリック詐欺という言葉で定着しているが、実際には2クリック、3クリックするサイトがほとんど」だという。ワンクリック詐欺の代表的な手口としては、当該サイトでENTERボタンなどをクリックすると、個人情報を吸い上げているかのようなアニメーションGIFやFlashを見せたのち、IPアドレスやプロバイダー名を表示して、架空請求を行なう。
「IPアドレスはWebサイトを表示させるため、必ずサイト側に取得されるものであり、IPアドレスからプロバイダーを特定することも普通にできることだが、ユーザーは個人が特定されてしまったと思い込み、料金を払ってしまう」(星澤氏)。
このほか最近の悪質な手口として、「ワンクリウェア」を紹介した。ワンクリウェアとは、個人情報を吸い取るために作られた不正プログラムのこと。ワンクリウェアをPCに侵入させる手口は、アダルトサイトなどで「動画を見るためのツール」と称し、ユーザーにダウンロードさせる。
ワンクリウェアをダウンロードすると、例えば、デスクトップ上に料金請求画像を全画面表示する。料金を支払ってIDとパスワードを入手しないと料金請求画像が消せない仕組みだという。
星澤氏は、「ワンクリックサイトは、個人情報を吸い取ったように見せかけているだけだが、ワンクリウェアは実際に個人情報が収集されている。料金請求以外にも個人情報が悪用される可能性がある」とした。また、「ワンクリック詐欺に特化した対策はなく、基本的なセキュリティ対策をしておくことが重要」と述べた。
● 個人のセキュリティ意識向上がカギ
星澤氏はまとめとして、「従来のハッカーは自分の技術力を誇示するためにオンライン犯罪を行なってきたが、現在は金銭目的に変わってきている」ことを指摘。これにより、「手口が巧妙になっていくスピードが全然違う」という。
ユーザー側の対策として星澤氏は、まず「基本的なセキュリティ対策をしっかりしておくこと」を挙げた。ただし、「製品やソリューションを使ったからといって、100%万全な対策はできない」という。「さまざまな対策をすることで99%万全にすることはできる。残りは、ユーザーのセキュリティレベル意識の向上」とした。
また、「オンライン詐欺の手口は元々、実社会であった詐欺の手口がオンラインに入ってきたもの。そう考えると、普通の生活で気をつけるような当たり前のことが、オンライン上でも必要。加えて、オンライン詐欺の手口を知ることも、対策をする上で重要になる」と語った。
関連情報
■URL
CEATEC JAPAN 2006
http://www.ceatec.com/
セキュアブレイン
http://www.securebrain.co.jp/
■関連記事
・ 「フィッシング対策に万全はない」~セキュアブレイン星澤氏講演(2006/03/28)
・ 偽の退会確認ボタンからメールアドレスを盗み取る手口に警告(2006/07/19)
( 野津 誠 )
2006/10/06 12:00
- ページの先頭へ-
|