ブラウザのフィッシング対策機能は使えるのか? - JPCERT/CCが評価発表

フィッシング対策協議会とJPCERT コーディネーションセンター(JPCERT/CC)は22日、Webブラウザのフィッシング詐欺対策機能を評価して、その結果を公表した。英語圏向けのフィッシング詐欺サイトだけでなく、日本語のサイトも調査しており、ブラウザ標準機能が有効に機能していることが確認されている。

フィッシング詐欺サイトは、2009年に入ってヤフーを狙ったサイトが急増、一時期減少したものの、日本語のサイトは増加している。携帯電話向けのSNSを狙ったフィッシング詐欺サイトも確認されていることから、携帯ユーザーにもフィッシングへの啓発啓蒙が必要になってきているという。

フィッシング詐欺サイトに対しては、各国との連携で「ほぼ100％の確率でサイトを停止できる」(JPCERT/CC 小宮山功一朗氏)が、停止させるまでに時間がかかるため、その間に被害が発生する危険性がある。そのため、ブラウザに搭載されているフィッシング詐欺対策機能が威力を発揮する。

しかし、小宮山氏はブラウザのフィッシング詐欺対策機能は「検出性能が調査されていなかった」と指摘。そこでJPCERT/CCでは昨年12月、事前調査としてInternet Explorer(IE)、Firefox、Safariの3ブラウザを使い、英語、日本語のフィッシング詐欺サイトデータベースからURLを取り出して検査を実施した。結果、英語サイトは3ブラウザとも9割以上の検出率だったのに対し、日本語サイトはブラウザによって0～12％程度の検出率だった。

そのため、これらの機能は日本語サイトへの対応が遅れており、製品ごとに挙動も異なるのではないかという仮説を立て、今年の1月から2月にかけて本調査を実施した。

調査に使ったのは、フィッシング詐欺サイトデータベースのPhishTankから1,000件、JPCERT/CCが取得した日本語サイト300件、フィルタリング開発企業のセキュアブレインからの29件で、同じURLに対して5日間にわたる調査が行われた。対象となったのはIE7、IE8、Firefox 3、Safari 4の4種類。IE7/8は、マイクロソフトのデータベースを利用しており、FirefoxとSafariはグーグルのSafe Browsing APIを利用しているとされる。

それらの不正サイトに実際にアクセスし、不正サイトとして警告が出た場合を検知とし、不正サイトを見逃した場合、またはすでにサイトが消失しているか改ざんを修正しているのに不正サイトと検出された場合を誤検知として、集計が行われた。

その結果、PhishTankのURLは、IE7が80.6％、IE8が81.9％、Safariが84.7％、Firefoxが91.3％と言う結果で、いずれも高い検出率だった。Firefoxをのぞくと、初日の調査では検出率が低く、2日目に一気に検知できるようになった。FirefoxとSafariはおなじデータベースを使っていても検出率には若干の違いが出ていた。

JPCERT/CCのデータを使った場合、IE7が80.3％、IE8が81.2％、Safariが73.5％、Firefoxが81.4％という結果だ。Safariが低い点については、結果に異常値が出たためとし、傾向としてはどのブラウザも同等で、PhishTankのデータよりも多少低くなる傾向にあったという。

仮説に反して、英語、日本語のいずれも高い検出率だったことから、小宮山氏は「ブラウザのフィッシング詐欺対策機能は積極的に使う価値がある」と指摘する。なお、ブラウザごとの挙動の違いとして、IEはデータベースの更新が速く、消失したり修正された場合に誤検知される例が少なかったそうだ。

フィッシング対策協議会では、今後ブラウザのフィッシング詐欺対策機能が効果的であると広報していきたいとしている。ただし、各ブラウザとも、調査初日の検出率は低く、対策機能を「過信するのは禁物」(小宮山氏)だ。そのため、フィッシング詐欺サイトを見分けるための方策をユーザーに身につけてもらうために、今後も啓蒙活動を行っていく。

なお、JPCERT/CCはブラウザ、ウイルス対策ソフト、フィルタリングの各ベンダーと提携し、収集した不正サイトのURLを提供する事業を今年2月から開始しており、すでにヤフーとカスペルスキーが参加している。今後、ブラウザベンダーのデータベース拡充に提供をしていきたい考えだ。