銀行のWebサイトを偽装するなどして個人の口座番号や暗証番号などを盗もうとするフィッシング詐欺は、すでに国内でも実被害が確認されたほか、海外でも被害が拡大を続けている。フィッシング詐欺に対する業界団体「APWG(Anti-Phishing Working Group)」のPeter Cassidy事務局長は、「手口がより巧妙化、複雑化している」と警告、新たな手口による被害の拡大を懸念する。

APWGのPeter Cassidy事務局長	Cassidy氏を招いたセキュアブレインの成田明彦社長

APWGの観測では、フィッシング詐欺は着実に増加を続けている。11月に発見されたフィッシングサイトは1,707件で、7月以降、毎月平均24%の割合で増加をしている。標的とされるのは銀行などの金融機関で、12月には55社、2003年11月から累計で131社がフィッシングの標的となっているそうだ。

12月のフィッシング詐欺の現状	着実に増加傾向にあるフィッシング詐欺

フィッシングサイトの動向	フィッシングの標的となったブランド数

手口は、メールで顧客情報のアップデートが必要などと偽って偽サイトに誘導、個人情報を窃取しようとするソーシャルエンジニアリングの手法を使ったものが主流だ。この手法では、メールはHTMLメールで送られ、金融機関などのWebサイトで実際に使われている画像を流用、文面も本物らしく作られているほか、差出人メールアドレスも詐称されている。さらに本文中のURLは、一見すると実際の金融機関のURLに見えるが、URLに意味のない文字列を大量に挿入して、Webブラウザのステータスバーで確認しづらいようにしたうえで、偽サイトにリンクする仕組みを使うなど、あの手この手で受信者を信用させようとする。「これがフィッシングの大半の攻撃手法だ」(Cassidy氏)。

典型的なフィッシング詐欺メール。オークションサイトのeBayからのメールに似せている

しかし、「フィッシング攻撃の手法が、予想より早く変化してきている」とCassidy氏。具体的には、ソーシャルエンジニアリングに加え、「ステルス型」の攻撃手法を加えた「ハイブリッド型」が登場してきているという。ソーシャルエンジニアリングに比べて、ユーザーの操作を必要としない攻撃がステルス型と呼ばれる手法だ。この手法では、Webブラウザの脆弱性やウイルスを利用するなどして、攻撃の効果を高め、個人情報の窃取を自動化しようとするなど、より高度で複雑化している、という。

たとえばハイブリッド型では、実際の銀行などのWebサイトを開いたブラウザの前面に、偽装したポップアップウィンドウを表示する、インスタントメッセンジャーを通じてサイトに誘導、トロイの木馬をダウンロードさせる、といった手法。ステルス型では、ウイルスの頒布や、IISなどのWebサーバをウイルスで書き換え、Webページに悪意のあるJavaScriptを挿入する、といった手法で、感染したユーザーのマシンにキーロガーを送り込み、自動的に口座番号やパスワードなどの情報を盗もうというもの。以前からウイルスなどによるキーロガーは問題視されていたが、Cassidy氏は、フィッシング詐欺グループが、銀行などの口座を狙ってウイルスを用いている点を問題視する。

実際、昨年10月にはブラジルでフィッシング詐欺グループ53人が逮捕、フィッシング用のトロイの木馬や従来の手法でインターネット銀行から預金などを窃取、日本円にして約86億円もの被害が出たともいわれている、とCassidy氏は語る。

ステルス型で利用されるウイルスの作成には、インターネット上に公開されている作成ツールを使ったものもあるが、ウイルス作者が協力している例もある、とCassidy氏。以前からウイルス作者が、金銭的な見返りを求めてスパムメールの送信に協力している、という指摘はあったが、フィッシング詐欺についても、ウイルス作者がフィッシング詐欺グループに雇われ、フィッシング詐欺用にカスタマイズしたウイルスを作られている例もあるという。Cassidy氏は、ロシアやルーマニアなどのウイルス作者でそれを確認しているそうだ。

拡大、巧妙化するフィッシングの対策はどうすればいいのか。「5年ほど前からフィッシング攻撃は登場しているが、急激に増えたのはここ最近」(Cassidy氏)であり、複数の手法を利用する複雑な攻撃のために、「特効薬はない」(Cassidy氏)のが現状。その中でも、対策としては「検知」「防止」「閉鎖」の3つの方法があるという。

「検知」では、金融機関などの狙われやすい企業のドメイン名と似たドメイン名の登録を監視したり、スパムフィルタリングをしたり、Webサーバのログをスキャンしたり、といった方法で、フィッシング攻撃を発見しようというもの。「防止」は、SecurID、Vascoなどの二要素認証の導入、ツールバーからフィッシングサイトのブラックリストを表示する、クロスサイトスクリプティングの脆弱性をなくす、Sender-ID、S/MIMEなどの導入によるEメール認証、といった対策。「閉鎖」は、フィッシングサイトに対して不良データを送ってダウンさせる、FBI/シークレットサービスに連絡するなどによってサイトを閉鎖に追い込むことを目的とする。

どれか一つの対策を行っただけで被害が防げる、というものではないが、そのほかにも、キャッシュカードに検証用ナンバーを用意して対策をする、フィッシング攻撃の前兆を検知して対策を行う、という手段で効果を上げている例もあるという。

そうした対策の一例として、セキュアブレインが開発する「PhishWall」がある。アクセスしたWebサイトが本物であるかどうかを検知するソフト。サイト側がPhishWallに対応する必要があるが、登録されているサイトであれば、フィッシングサイトがいかに本物のサイトをまねても、本物かどうかはPhishWallが自動的に判別してくれる。

PhishWallはブラウザのツールバーとして提供される。中央付近の緑の表示が安全なサイトを意味する	国内で発見されたVISAジャパンのサイトを偽装したフィッシングサイト。アドレスバーにはVISAのURLが表示されているが、実際のURLはルーマニアのアドレスであることが示されている。なお、VISAのこのサイトはつい最近まで稼働していたそうだ

このソフトの成功の鍵は、どれだけのサイトが登録するかにかかっている。現在、金融機関を中心に話し合いを進めており、3月の正式版公開時には10行程度の銀行を登録サイトとしていきたい考え。金融機関に対するセミナーも開催しており、今後も銀行や証券会社、オークションサイトなどの金銭取引が発生するサイトを運営する企業と協議するほか、成田明彦社長は、電子政府・電子自治体をにらみ、政府・自治体関連にも範囲を拡大していく意向も示している。

登録サイトの場合、最初のアクセス時にクライアント側への認証が行われる。その後は緑表示に従えば、本物のサイトにアクセスしていることになる	偽装サイトと思われる場合、PhishWallが警告を発する

Cassidy氏は今回、セキュアブレインの招きで来日した。セキュアブレインは、前シマンテック社長の成田明彦氏が代表を務めるセキュリティ企業で、国内企業では唯一APWGのスポンサーとなっている。