Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

「フィッシング対策に万全はない」~セキュアブレイン星澤氏講演


 ブロードバンド推進協議会(BBA)は28日、「オンライン詐欺の脅威」と題する講演会を開催した。セキュアブレインの星澤裕二プリンシパルセキュリティアナリストが、フィッシングとスパイウェアの現状と対策方法について語った。


メールのヘッダやフィッシングサイトのURLは簡単に偽装できる

セキュアブレインの星澤裕二プリンシパルセキュリティアナリスト

HSBC Bankを騙るフィッシングサイト。後ろに表示されているのは正式サイトで、前方のポップアップウィンドウは偽物
 フィッシングの被害を受ける理由について、星澤氏は「本物と偽物の区別が難しいこと」を指摘。メールのヘッダやフィッシングサイトのURLを確認することで対策することは可能だが、「メールの差出人は自由に設定できるほか、JavaScriptを使って簡単にWebブラウザのアドレスバーを上書きする手口もある」ため、あまり役に立たないという。

 星澤氏はフィッシング攻撃の実例として、まずHSBC Bankを騙るフィッシングメールを紹介した。メールは差出人が詐称されており、本文中のリンクをクリックするとHSBC Bankの正式トップページと、ユーザーIDを入力させる偽物のポップアップウィンドウが出現する。この手法は、偽物の入力画面を本物らしく見せるため、バックグラウンドに正式のサイトを表示している。

 また、JavaScriptを利用してステータスバーを偽装する米PayPalを騙ったフィッシング攻撃も紹介。この偽装は、Internet Explorerのアクティブスクリプトを無効にすれば防げるが、正規のサイトも表示できないことがあるという。なお、TABLE要素を使ったアンカーでステータスバーを偽装して、実際のリンク先とは異なるアドレスを表示する手法も報告されているが、これについては「アクティブスクリプトを無効にしても防ぐことができず対抗策がない」状態だ。

 さらに、アドレスバーを偽装する例では、標準のアドレスバーを非表示にして、TABLEやイメージ、JavaScriptを利用して偽のアドレスバーを作成する手口があるという。ちなみに、偽のアドレスバーの下はフレームになっており、アドレスバーにURLを入力してEnterキーを押すと指定したサイトのコンテンツを表示するなど、標準のアドレスバーと同じように機能する。


本家のサイトより「本物」らしいURLを持つフィッシングサイト

 フィッシングメールの対策方法のひとつとして、メールに含まれる単語を指定してフィルタリングすることが挙げられるが、これを回避する手口も報告されているという。例えば、HTMLメールの本文で、TABLE要素のborder属性を0にして枠線を消した表の複数のセルに、メッセージを分割して入力する。単語の途中にタグが挿入されるため、スパム判定が難しくなる。さらに、背景色と同じ色で本文と脈略のない文字が挿入されており、よりフィルタリングが困難になっている。

 ソーシャルエンジニアリングの手口では、会社名の一部を使った紛らわしいURLで騙すことがある。例えば、「NatWest OnLine Banking」というオンライン銀行のサイトを騙って、「http://www.personal-natwest.com/」というURLでフィッシングサイトを開設したケースがある。本物のサイトのURLは「https://www.nwolb.com/」であり、「本物よりわかりやすいURLを取得しているフィッシングサイトも多い」という。

 そのほか、SSL通信する際に発行される電子証明書を独自に発行する「オレオレ証明書」によるフィッシング攻撃や、「Citibank」を騙り「Cithibank」という名義でSSL通信の証明書を取得したフィッシング攻撃などを紹介した。

 ネット上では、フィッシング構築キットが売買されているなど、攻撃者は簡単にフィッシング攻撃を行なえる状態にある。また、カード情報が売買されており、最近では「日本のカード情報も売買の対象になっている」。さまざまな手口で攻撃をしかけるフィッシングに対して、星澤氏は「メール中のリンクを安易にクリックしない、個人情報をメールで送信しない、ブラウザに最新パッチを当てる」などの自衛手段を挙げるが、現状では「これだけやればいいというものはない」という。各人のセキュリティ意識を高めるとともに、アンチスパム技術や送信ドメイン認証技術などによる対策が不可欠だとした。


フィルタリングを回避する手口。TABLE要素のborder属性を0にして枠線を消した表の複数のセルに、メッセージを分割して入力する 単語の途中にタグが挿入されるため、スパム判定が難しくなる。さらに、背景色と同じ色で本文と脈略のない文字が挿入されている

 続けて、スパイウェアの侵入経路を説明。星澤氏によれば、アプリケーションの一部としてスパイウェアが組み込まれていたり、Webサイトにアクセスするとインストールされることが多いという。具体例として、P2Pソフト「Kazaa」をインストールすると、スパイウェアが導入される例を紹介。ちなみに、Kazaaの使用許諾契約書にはスパイウェアがインストールされていることが明記されているという。

 スパイウェアの被害では、日本でも被害が多発したキーロガーを挙げ、「昔はキーボード入力を垂れ流すだけだったが、最近では使用しているアプリケーションやタイトルバーの名前も取得できる」と語った。スパイウェア対策については、「スパイウェア対策ソフトやコンテンツフィルタリングなど、1つの対策よりも複数の対策を組み合わせて利用した方が効果的」と述べるとともに、「怪しいサイトからファイルをダウンロードしないことも必要」としてユーザーが自ら規制することが重要だとした。

関連情報

URL
  ブロードバンド推進協議会
  http://www.bbassociation.org/bba/


( 増田 覚 )
2006/03/28 20:25

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.