政府対応も本格化 - フィッシング詐欺対策
経済産業省は、12月9日に「フィッシング・メール対策連絡会議」を開催した。実在する企業へ成りすまし、IDやパスワードなどを詐取、銀行口座などから金銭を盗み出すフィッシング詐欺は、すでに米国において大きな被害が発生しており、国内への影響も懸念されている。
経産省の「フィッシング・メール対策連絡会議」が始動
http://www.security-next.com/001132.html
稚拙な詐欺から進化
従来は、メールでIDやパスワードの返信を要求するという稚拙な手口も多かったが、その後確実に進化を遂げており、深刻度が増している。
まず、送信者およびタイトルは当然偽装されており、ユーザーにメールを開かせる。大抵の場合、HTMLメールを活用しており、メールのレイアウトやHTMLメールのデザインを本物同様にすることで、正規サイトと誤認させる。これらは常套手段だ。
HTMLメールは根本的な問題を抱えている。テキストメールとは異なり、HTMLタグにより、画面表示と異なるサイトへ誘導することが簡単にできる点だ。
さらにジャンプ先のウェブサイトも工夫されている。まず、偽サイトをポップアップウィンドウ風に表示する。もちろんURLは隠した状態だ。そして同時に、正規サイトも新しいウインドウでオープンする。こちらはURLを堂々と表示する。
つまりユーザーには、あたかも正規サイトへアクセスし、同サイトが情報入力を求め、ポップアップウインドウをオープンさせたかのように錯覚させるのだ。非常に巧妙な心理トリックだ。
さらに、これら情報を詐取するフィッシングサイトは数日で閉鎖され、姿を消してしまう。インターネットのリアルタイム性とシステムの根本的な脆弱性、そして人間の錯覚を巧みに組み合わせた犯罪へ進化してきているのだ。
米国から国内へ
調査会社であるGartnerの発表によれば、2003年に米国内で約5700万人がフィッシング詐欺メールやそれらしきメールを受信、そのうち178万人がカード番号などを入力したという。被害額は12億ドルに達したという。
米国財務省の見解では、フィッシング詐欺による個人情報の盗難は、米国企業に年間500億ドルの損失を与え、毎年1000万人のアメリカ人が被害に遭っているという。米国内では、Microsoftや大手プロバイダ、FBIなどが協力し、捜査機関「Digital PhishNet」が設立された。
すでに国内でもフィッシングメールが出回りはじめている。これは個人はもちろん、名前を騙られる「企業」にとっても大きな脅威だ。狙われるのは、大手ポータルサイトや、ショッピングモール、クレジットカード会社、銀行などだ。
すでにヤフーはたびたび同社を騙るメールやウェブサイトに対して注意するようアナウンスしている。そのほか、クレジットカード大手のVISAなども同様の問題に巻き込まれている。
「Yahoo!JAPAN」を偽装したフィッシングメールに注意
http://www.security-next.com/001010.html
「ヤフーなりすましサイト」が横行 - ヤフーが警告
http://www.security-next.com/000145.html
「VISA認証サービス」を偽装したフィッシングメールに注意
http://www.security-next.com/000997.html
イーバンクを騙るフィッシング詐欺メール
http://www.security-next.com/000950.html
シマンテックが定期的に発行している「インターネットセキュリティ脅威レポート」においても、インターネット上でEコマースサイトが攻撃の標的となっており、フィッシング詐欺などの影響を示唆している。
EコマースサイトやWebアプリが標的 - シマンテックセキュリティレポート
http://www.security-next.com/000904.html
現行法律では、情報を詐取するだけでは犯罪行為にならない。これら詐取した情報を元に金銭をだまし取った時点で、はじめて違法性が問える。個人情報については、来年4月以降、情報の取得方法についても法規制の対象になるが、IDやパスワードなど、情報窃盗についてもいち早い対応が望まれる。
企業の観点から
企業としては、自社を詐称する反社会的団体がいないか、つねに細心の注意を払う必要がある。万が一、その兆候を見つけたならば、顧客へ素早く情報を提供し、事件を防止しなくてはならない。
また、画像の表示など、マーケティング目的で採用されてきたHTMLについても、フィッシング詐欺に悪用される危険性が高いことからテキストメールへの変更など検討する必要があるだろう。
実際、米国のTNSとプライバシ保護団体のTRUSTeが行ったアンケートの結果では、ホリデーシーズンにオンラインショッピングを制限するとした回答者は約半数にのぼった。さらにまったく利用しないというユーザーも8%に達したという。
国内でも情報流出に関してユーザーは非常に敏感になっている。シマンテックのアンケート結果では、情報漏洩を不安に思うとの声が9割を占めており、今後フィッシングメールの脅威が増加すれば、Eコマース分野に大きな影響を与えることになるだろう。
9割のユーザーが個人情報漏洩に不安 - シマンテック調べ
http://www.security-next.com/000146.html
企業ではフィッシング詐欺を未然に防ぐ対策も積極的に取り入れなければ、顧客離れも起きかねない。ネットショップなど、インターネットに収益を依存している企業にとっては死活問題だ。
これらフィッシング詐欺を防止する製品も登場している。今年後半にリリースされた各社個人向けアンチウイルスソフトも、フィッシング詐欺防止をアピールポイントに挙げており、注目度の高さが窺える。
セキュリティソフトのトレンドはフィッシングとスパイウェア対策
http://www.security-next.com/000715.html
セキュアブレイン、フィッシング詐欺を防ぐソリューションを発表
http://www.security-next.com/001058.html
NTT、迷惑メールを予防する新システムの公開実験を開始
http://www.security-next.com/001071.html
消費者への啓蒙活動
事故を未然に防ぐという意味でも、教育活動が大きな意味を持ってくる。プロバイダやポータルサイトなど、消費者を対象にした啓蒙活動を開始した。
ヤフー、ネットを安全に利用するためのセキュリティガイドを公開
http://www.security-next.com/001123.html
ニフティ、ネットセキュリティの重要性を解説する期間限定サイトを開設
http://www.security-next.com/001029.html
架空請求や振り込め詐欺(オレオレ詐欺)などについても言えることだが、詐欺の手口は日々進化しており、巧妙化が進む。インターネット上のセキュリティ情報も劣化が早い。すでにフィッシング詐欺とは異なる新手も登場している。
新タイプの詐欺サイトが急増 - ウェブセンス調査
http://www.security-next.com/000887.html
企業、消費者という両側面から同詐欺を防止するシステムがなければ、これら詐欺を防ぐことは難しいだろう。「フィッシング・メール対策連絡会議」には、従来からのフィッシング詐欺はもちろん、今後の進化に対応するシステム作りを期待したい。
(Security NEXT - 2004/12/16 )
ツイート
PR
関連記事
学内向けクラウドで学生情報が閲覧可能に、権限設定ミスで - 京都府立大
個人情報含む廃棄書類が強風で飛散、一部紛失 - 宮城県
VPN経由でランサム被害 - 産業機械開発設計会社
「PostgreSQL」にSQLi脆弱性が判明 - 修正版を公開
SonicWall製FW狙う脆弱性攻撃 - 更新できない場合は「SSL VPN」無効化を
F5、「BIG-IP」などに複数の脆弱性 - アップデートで修正
「SecHack365 2024」の成果発表会を都内で開催 - NICT
マイクロソフト、ブラウザ「MS Edge」最新版で脆弱性5件を解消
読プレ応募者情報が閲覧可能に、フォーム設定ミスで - 琉球新報
健診受診者のメールアドレスが流出 - 札幌市西健康づくりセンター