Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

政府対応も本格化 - フィッシング詐欺対策

経済産業省は、12月9日に「フィッシング・メール対策連絡会議」を開催した。実在する企業へ成りすまし、IDやパスワードなどを詐取、銀行口座などから金銭を盗み出すフィッシング詐欺は、すでに米国において大きな被害が発生しており、国内への影響も懸念されている。

経産省の「フィッシング・メール対策連絡会議」が始動
http://www.security-next.com/001132.html

稚拙な詐欺から進化

従来は、メールでIDやパスワードの返信を要求するという稚拙な手口も多かったが、その後確実に進化を遂げており、深刻度が増している。

まず、送信者およびタイトルは当然偽装されており、ユーザーにメールを開かせる。大抵の場合、HTMLメールを活用しており、メールのレイアウトやHTMLメールのデザインを本物同様にすることで、正規サイトと誤認させる。これらは常套手段だ。

HTMLメールは根本的な問題を抱えている。テキストメールとは異なり、HTMLタグにより、画面表示と異なるサイトへ誘導することが簡単にできる点だ。

さらにジャンプ先のウェブサイトも工夫されている。まず、偽サイトをポップアップウィンドウ風に表示する。もちろんURLは隠した状態だ。そして同時に、正規サイトも新しいウインドウでオープンする。こちらはURLを堂々と表示する。

つまりユーザーには、あたかも正規サイトへアクセスし、同サイトが情報入力を求め、ポップアップウインドウをオープンさせたかのように錯覚させるのだ。非常に巧妙な心理トリックだ。

さらに、これら情報を詐取するフィッシングサイトは数日で閉鎖され、姿を消してしまう。インターネットのリアルタイム性とシステムの根本的な脆弱性、そして人間の錯覚を巧みに組み合わせた犯罪へ進化してきているのだ。

米国から国内へ

調査会社であるGartnerの発表によれば、2003年に米国内で約5700万人がフィッシング詐欺メールやそれらしきメールを受信、そのうち178万人がカード番号などを入力したという。被害額は12億ドルに達したという。

米国財務省の見解では、フィッシング詐欺による個人情報の盗難は、米国企業に年間500億ドルの損失を与え、毎年1000万人のアメリカ人が被害に遭っているという。米国内では、Microsoftや大手プロバイダ、FBIなどが協力し、捜査機関「Digital PhishNet」が設立された。

すでに国内でもフィッシングメールが出回りはじめている。これは個人はもちろん、名前を騙られる「企業」にとっても大きな脅威だ。狙われるのは、大手ポータルサイトや、ショッピングモール、クレジットカード会社、銀行などだ。

すでにヤフーはたびたび同社を騙るメールやウェブサイトに対して注意するようアナウンスしている。そのほか、クレジットカード大手のVISAなども同様の問題に巻き込まれている。

「Yahoo!JAPAN」を偽装したフィッシングメールに注意
http://www.security-next.com/001010.html

「ヤフーなりすましサイト」が横行 - ヤフーが警告
http://www.security-next.com/000145.html

「VISA認証サービス」を偽装したフィッシングメールに注意
http://www.security-next.com/000997.html

イーバンクを騙るフィッシング詐欺メール
http://www.security-next.com/000950.html

シマンテックが定期的に発行している「インターネットセキュリティ脅威レポート」においても、インターネット上でEコマースサイトが攻撃の標的となっており、フィッシング詐欺などの影響を示唆している。

EコマースサイトやWebアプリが標的 - シマンテックセキュリティレポート
http://www.security-next.com/000904.html

現行法律では、情報を詐取するだけでは犯罪行為にならない。これら詐取した情報を元に金銭をだまし取った時点で、はじめて違法性が問える。個人情報については、来年4月以降、情報の取得方法についても法規制の対象になるが、IDやパスワードなど、情報窃盗についてもいち早い対応が望まれる。

企業の観点から

企業としては、自社を詐称する反社会的団体がいないか、つねに細心の注意を払う必要がある。万が一、その兆候を見つけたならば、顧客へ素早く情報を提供し、事件を防止しなくてはならない。

また、画像の表示など、マーケティング目的で採用されてきたHTMLについても、フィッシング詐欺に悪用される危険性が高いことからテキストメールへの変更など検討する必要があるだろう。

実際、米国のTNSとプライバシ保護団体のTRUSTeが行ったアンケートの結果では、ホリデーシーズンにオンラインショッピングを制限するとした回答者は約半数にのぼった。さらにまったく利用しないというユーザーも8%に達したという。

国内でも情報流出に関してユーザーは非常に敏感になっている。シマンテックのアンケート結果では、情報漏洩を不安に思うとの声が9割を占めており、今後フィッシングメールの脅威が増加すれば、Eコマース分野に大きな影響を与えることになるだろう。

9割のユーザーが個人情報漏洩に不安 - シマンテック調べ
http://www.security-next.com/000146.html

企業ではフィッシング詐欺を未然に防ぐ対策も積極的に取り入れなければ、顧客離れも起きかねない。ネットショップなど、インターネットに収益を依存している企業にとっては死活問題だ。

これらフィッシング詐欺を防止する製品も登場している。今年後半にリリースされた各社個人向けアンチウイルスソフトも、フィッシング詐欺防止をアピールポイントに挙げており、注目度の高さが窺える。

セキュリティソフトのトレンドはフィッシングとスパイウェア対策
http://www.security-next.com/000715.html

セキュアブレイン、フィッシング詐欺を防ぐソリューションを発表
http://www.security-next.com/001058.html

NTT、迷惑メールを予防する新システムの公開実験を開始
http://www.security-next.com/001071.html

消費者への啓蒙活動

事故を未然に防ぐという意味でも、教育活動が大きな意味を持ってくる。プロバイダやポータルサイトなど、消費者を対象にした啓蒙活動を開始した。

ヤフー、ネットを安全に利用するためのセキュリティガイドを公開
http://www.security-next.com/001123.html

ニフティ、ネットセキュリティの重要性を解説する期間限定サイトを開設
http://www.security-next.com/001029.html

架空請求や振り込め詐欺(オレオレ詐欺)などについても言えることだが、詐欺の手口は日々進化しており、巧妙化が進む。インターネット上のセキュリティ情報も劣化が早い。すでにフィッシング詐欺とは異なる新手も登場している。

新タイプの詐欺サイトが急増 - ウェブセンス調査
http://www.security-next.com/000887.html

企業、消費者という両側面から同詐欺を防止するシステムがなければ、これら詐欺を防ぐことは難しいだろう。「フィッシング・メール対策連絡会議」には、従来からのフィッシング詐欺はもちろん、今後の進化に対応するシステム作りを期待したい。

(Security NEXT - 2004/12/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

一部製品のTLS実装に暗号解読される脆弱性、「ROBOT攻撃」受けるおそれ - 「Facebook」などにも影響
「SECCON 2017」予選、上位100チームを発表
「SECCON 2017」オンライン予選の登録受付が開始
2016年度のSIEM市場は39.8億円 - 前年度比13.7%増
10月以降、「DreamBot」の感染被害が拡大 - リンク付きメールに注意
MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず