産業技術総合研究所・高木浩光氏

世の中の情報化が進展し、さまざまな場面でITの活用が広がっている。インターネットで買い物をしたり情報を収集したり、携帯電話で買い物をしたり、小型無線で商品を管理したりと、幅広い分野で活躍している。

しかし、便利になった反面、情報化によって問題も発生している。オンライン詐欺、個人情報漏えい、プライバシー侵害など、情報化の浸透で問題もより深刻になってきている。その中でも、広がり始めたフィッシング詐欺とRFIDには、セキュリティ上の注目が集まっている。

今後、情報化社会にはどんな危険性があるのか。フィッシング詐欺とRFIDの話題を中心に、セキュリティに詳しい産業技術総合研究所の高木浩光氏に話を聞いた。

フィッシング詐欺

英語圏では以前から問題視されてきたフィッシング詐欺メールが、去年にはいよいよ本格的に日本でも見られるようになってきた。昨年12月に入り、警察庁は国内で初めての金銭的被害を確認しており、対策を強化するなど、今後の被害拡大が懸念されている。高木氏は、特に11月にヤフーが警告したフィッシング詐欺メールについて「ぞっとした」と語る。

高木氏によると、このヤフーメールの仕組みはこうだ。Yahoo!メール宛に届く有料コンテンツに関するお知らせに偽装したメールのURLをクリックすると、ヤフーのログインページが表示される。見た目は本物のログインページと同様で、Internet ExplorerのアドレスバーもYahoo!のアドレスが表示される。IDにもログインした人の正しいIDが、すでに表示された状態になっている。

ここでパスワードを入力するとどうなるか。本物のヤフーで利用しているパスワードでない、偽のパスワードを入力すると「パスワードが違います」とはじかれ、正しいパスワードを入力すると次の画面に進める。つまり、入力されたパスワードをヤフーのサーバーに中継し、真偽を確認している、ということになる。高木氏の調査では、次の画面の暗証番号(セキュリティキー)は何を入力してもよく、その後はYahoo!ウォレットの偽サイトで、クレジットカードの登録などが促される。

なぜこういうことができるのか。そもそもアドレスバーに表示されたURLがヤフーのアドレスのため、フィッシング詐欺対策の基本の一つであるアドレスバーの目視確認ができない。これは、HTMLメールのURLに埋め込まれたJavaScriptによって、本物のヤフーのサイト上にフレームページをかぶせるような形で表示しているため、アドレスバーのURLと、表示されているサイトのURLが異なる、という事態が引き起こされている。

通常のメールソフトではこのようなことは起こらないのだが、Yahoo!メールに存在したクロスサイトスクリプティング(XSS)の脆弱性により、JavaScriptを実行したページを差し替えることができるので、このような攻撃が成立したわけだ。

XSSの脆弱性を悪用、そして本物のサーバーへパスワードを中継送信することで、信用させようとした手口は、Webデザインが酷似している点も含めて非常に周到だ。犯人像について、高木氏は愉快犯の可能性を指摘。「ウイルス作成と同様、自分のテクニックを試したいのではないか」としている。現状のフィッシング詐欺を行う人物には、金銭を不正に取得しようとする悪質な犯人もいると思われるが、同時に愉快犯もいる状況ではないか、と高木氏は推測する。