フィッシング対策を徹底して お客様に安心・安全を提供する

エンタープライズIT総合誌 月刊ビジネスコミューニケーション(Webサイトへ)
◆コラム／フィッシング
フィッシング対策を徹底して
お客様に安心・安全を提供する
㈱セキュアブレイン
マーケティングディレクター
中田 太
インターネット版の「個人情報」詐欺
フィッシング詐欺の手法
インターネットが企業・個人の様々な場面で広く活用さ
例えば、あなたがオンラインバンキングでいつも使って
れ、未来におけるその可能性も技術・サービス両面におい
いる『銀行と思われる差出人』から『○○銀行より緊急の
て大きな期待がもたれているのはご存知の通りです。
ご連絡』というタイトルのメールが来たとします。その内
しかし、そのインターネットは便利さゆえの危険性も多
容は「お客様の口座で不審な取引が確認されています。今
くはらんでおり、インターネットそのものが凶器になるこ
すぐに下記のリンクにアクセスして、お客様の口座情報を
とも近年では大きな議論の的になっています。実際にコン
確認してください。○月○日までに確認が行われなかった
ピュータウイルスの被害やハッカー、スパイウェアによる
場合、お客様のキャッシュカードが使用不可能になります。
情報漏洩の事件は後を絶ちません。もちろん、個人向けに
こ の リ ン ク を ク リ ッ ク し て く だ さ い 。
様々なセキュリティ対策ソフトが販売され、企業において
http://www.xxxbank.co.jp」いうものでした（図１-A 参照）。
もセキュリティ対策のために少なからず時間とコストを費
あなたは、慌ててパソコンを起動してメールに書かれて
やし、確実にその効果をあげていますが、その攻撃手法は
いるリンクをクリックしてインターネットにアクセスしま
多様化し、「いたちごっこ」が繰り返されていることもまた
す。画面上には見慣れた銀行のログイン画面が表示された
事実です。
ため、迷うことなく『キャッシュカードの番号』『ログイン
その攻撃手法の中でも「個人情報」をターゲットとし、
ID』『パスワード』を入力します（図１-B 参照）。すると画
近年欧米で大きな被害をもたらすとともに、昨年からは日
面に『ただいまアクセスが集中してログインしづらい現象
本国内でもその被害が確認されているのが「フィッシング
が発生しております。ご面倒をおかけしますが、しばらく
詐欺」です。
たってから、再度ログインを試みてください。』と表示され
「個人情報」の詐取による金銭的な被害は「スキミング」
ました（図１-C 参照）。
や「振り込め詐欺」が社会問題となっていますが、そのイ
あなたは『きっと、自分以外にも同様の知らせを受け取
ンターネット版が「フィッシング詐欺」とされており、代
った人が居て、いっせいにアクセスしているに違いない。
表的な手口としては、メールや Web サイトを通じて、あた
指定された日付までには数日あるから又後でアクセスしよ
かも正規のサイトや組織からユーザーに通知が行われてい
う。』と考え、翌日再び同じようにアクセスしました。する
るように見せかけ、ID ／カード番号／パスワードなどの個
と先日のリンクが切れています。不審に思いあなたは、直
人情報を盗み取ります。
接 URL をタイプして銀行のホームページを開いてログイン
48
ビジネスコミュニケーション
2006 Vol.43 No.2
エンタープライズIT総合誌 月刊ビジネスコミューニケーション(Webサイトへ)
図1
フィッシング詐欺の手法例
図 2 フィッシャーによる「騙しのテクニック」例
【１】
アドレスバーを偽装して利用者を騙す
解説： 実際は別の URLに接続していますが、アドレス
バーを偽造してその企業に接続したように表示します。
【２】紛らわしいドメイン名を使用する
します。するといつもどおりにログインでき、自分の口座
情報を閲覧することができました。いつもと同じインター
ネットの画面。しかしひとつだけいつもと違うのはあなた
の預金残高が０円になっていることでした（図１-D 参照）。
フィッシングを行う犯罪者（以下、フィッシャー）が送
ったフィッシングメールに騙されたあなたは、フィシング
サイトに誘導され、偽のログイン画面に『キャッシュカー
ドの番号』『ログイン ID』『パスワード』を入力し、フィッ
シャーはその情報を使って口座から預金を引き出してしま
ったのです。
このような事件は実際に発生していますし、クレジット
解説： 偽装した企業の名前をドメイン名に含めることに
より、
その企業のWebサイトであるのかのように思わせる
手法です。実際にはその企業が登録していないドメイン
名が使用されます。
【3】掲示板やバナーの利用
解説： フィッシングサイトのURLをあらかじめ複数の掲示
板やバナーのリンク先として埋め込んでおきます。ISP
を偽装したフィッシングサイトへの誘導手法として実際に
日本国内でも確認されています。
「出会い系」や「不正
コピー取引」などの、アンダーグラウンドなサイトにいかに
も欲しい情報があるように見せかけてリンクを用意して誘
導します。この手法ではメールを使わず仕掛けたサイトを
罠のようにして待ち構えているため、
その存在が明るみに
なりにくく、長期にわたってそのフィッシングサイトが存在
してしまう可能性があります。
カード番号と暗証番号を詐取され、その番号を使って買い
物をされたり、偽造カードを作られたり。またそのカード
さらに、最近では「騙しのテクニック」に関してもさら
情報やパスワードが売買されたり、といった事件も発生し
に巧妙な手口が確認されています。下記にその代表的な例
ています。
を紹介します。
ビジネスコミュニケーション
2006 Vol.43 No.2
49
エンタープライズIT総合誌 月刊ビジネスコミューニケーション(Webサイトへ)
◆コラム／フィッシング
ユーザーをフィッシングサイトへ誘導する
「ファーミング」
◆その 2
hosts ファイルの書き換え：ホスト名と IP アドレ
スの対応付けを行うために用いられる「hosts」ファイルの
テーブルを書き換える手法です。hosts ファイルに書き込ま
最近では、メールを使わずにフィッシングサイトへ誘導
れた IP アドレスは DNS を経由することなく参照・表示され
する手法も多数報告されています。気づかないうちにフィ
てしまうため、ユーザーがブラウザのアドレスバーに手動
ッシングサイトで情報を詐取され、フィッシャーはその情
で入力しても、偽サイトに誘導されてしまいます。攻撃手
報をつかって自由に買い物や情報の売買を行い利益を上げ
法の原理としては DNS スプーフィングと似ていますが、こ
ていきます。この手法は昨年あたりから多く見受けられて
の手法においてもユーザーが視認するアドレスバーに表示
おり、「ファーミング」と呼ばれています。
されるドメイン名はユーザー自身が任意で入力したものに
「ファーミング」は従来の「フィッシングメールを使って
フィッシングサイトへ誘導」という手法を使わずに、ユー
なるため、フィッシングサイトに誘導されていることを気
づきにくくなります。
ザーをフィッシングサイトに誘導するため、その存在その
ものがわかりづらく、長期にわたって潜伏する可能性もあ
米国では年間 7,300 万人以上が平均 50 件以上のフィッシン
ります。フィッシャーはメールを出す手間をかけることな
グメールを受け取り、被害額は 1,000 億円以上に上る（米国
く、多くの個人情報を詐取してしまいます。
ガートナー社調べ）といわれており、標的となる金融機関、
オークションサイトを運営する企業や ISP は様々な対策を行
ったり、警告を発していますが解決には至っていません。
ファーミングの手法
日本においても昨年より金融機関、クレジットカード会
社、ISP を偽装したフィッシングメールとサイトが報告され
◆その 1
DNS スプーフィング：インターネット上のホスト
ており、先日はインターネット大手「ヤフー」の偽オーク
名を IP アドレスに解決するためのテーブルを書換えること
ションサイトで他人の ID とパスワードを盗み、オークショ
によって、ユーザーをフィッシングサイトに誘導さる手法
ン詐欺を繰り返したとして警視庁による詐欺容疑を適用し
で す 。 例 え ば 正 常 な D N S の テ ー ブ ル で は
た初逮捕者が出ています。このように「フィッシング詐欺」
www.abcbank.co.jp というドメイン名は 23.144.xxx.xxx とい
の脅威は間違いなく日本においても広がりつつあり、決し
う IP アドレスをもつサーバへ解決しますが、登録されてい
て「対岸の火事」では済まされない状況になっています。
る IP アドレスを変更することにより、同様のドメインのリ
コンピュータ・インターネットにおける脅威の歴史を見て
クエストに対して偽サイトに誘導させることができます。
みると2001年くらいまでは、
「コンピュータウイルス」から始
DNS は通常管理されているため、このテーブルを書き換え
まり「ワーム」
「トロイの木馬」などの不正なプログラム、OS
ることは難しいと思われていますが、脆弱性を持っていた
の脆弱性やソーシャルエンジニアリングを利用した脅威など、
り、管理がずさんなため、外部からコントロールが行える
その攻撃対象となるのは単体の PC や企業ネットワークでし
ものも多数存在し、米国では実際に報告されています。
た。しかし、
「フィッシング詐欺」の出現により、その攻撃対
この手法を使うと、ブラウザのアドレスバーに表示される
ドメイン名はユーザーがアクセスしようとしているものになる
ため、偽サイトに誘導されていることに気づきません。また、
象はPCやネットワークから、個人のもっているパーソナルデ
ータ、いわゆる「個人情報」に移行したのです。
前述の例のように、インターネットバンキングの ID や暗
DNS に一度キャッシュされたアドレスは一定期間キャッシュ
証番号が盗まれることにより、預貯金を勝手に引き出され
に保存され再利用されるため、次に同じDNSサーバを利用し
たり、またクレジットカードの番号を盗まれて身に覚えの
たサーバが同じドメインに行こうとすると、やはり別のアドレ
無いショッピングをされると同時に、信用情報に傷がつく
スにルーティングされてしまいます。
ようなケースも考えられます。また、フィッシャーやその
50
2006 Vol.43 No.3
エンタープライズIT総合誌 月刊ビジネスコミューニケーション(Webサイトへ)
集団は、詐取した「個人情報」を闇マーケットで販売する
ことにより、幾重にも利益を得ることができます。
くことは間違いありません。
インターネット上で公開されている Web サイトがフィシ
「コンピュータウイルス」などの不正プログラムがその作
ングサイトを作られることを防ぐのは実際難しいといわれ
者の「自己顕示欲」を満たすために作られた「愉快犯」的
ています。そのため、企業ができる対策としては、①偽サ
なものであったのに対し、フィッシングはフィッシャーや
イトをいち早く発見して閉鎖させていく。②自社のサイト
その組織が実際に「利益」を上げていくことを目的として
が正しいことを証明する何らかの手段。として大きく二分
いるため、その手口も非常に巧妙かつ複雑になり、最新の
されます。
フィッシング事例ではそれを見破ることすら難しくなって
①に関しては既にサービスを提供している企業もありま
いるのが現状です。インターネットを便利に利用している
すが、偽サイトは神出鬼没な上、必ずしも国内にできるわ
ユーザーにとってこのフィッシングはいつ、どこから、ど
けではないため、その閉鎖の為に国家間で異なる文化や法
のような方法で攻めてくるかわからず、かつ実質的な金銭
律的な障壁も存在します。必ずしも短時間でフィッシング
的な被害をもたらすおそれがあり、
「コンピュータウイルス」
サイトの閉鎖が行えるという保証が無いのが現状です。
や「トロイの木馬」などの不正なプログラム以上に深刻な
②に関しては様々なソリューションが活用されています
が、最終的に「ユーザーが安全性を確認する」ということ
問題なのです。
に関しては、課題が残されています。その Web サイトが正
しいサイトであることを証明する情報は Web サイト側が提
フィッシングが企業に及ぼす被害
供していますが、その情報が必ずしもユーザーにわかりや
すいものばかりではありません。
フィシング詐欺のもうひとつの問題点として、「偽装サイ
企業にとって「フィッシング詐欺」は直接的な被害こそ発
トを作られた企業の信用（ブランド）」があげられます。複
生しませんが、顧客への安心・安全の提供という「企業ブラン
数の偽サイトを作られてしまった企業は、どのようにして
ド」の部分でその経営に大きな影響を及ぼす「犯罪行為」です。
自社のサイトが正しいものであることを顧客に知らせるの
その対策いかんによっては、企業イメージにも大きな影響を及
でしょう？ 先に紹介したようにドメイン名の偽装や、紛
ぼします。企業のホームページが顧客や投資家に向けて様々な
らわしいドメインの使用などの手口があるため、ドメイン
情報を発信する昨今「我々はフィッシング対策をしっかり行っ
名によって顧客が判断することは非常に危険です。一体何
て、お客様を守っています。
」というメッセージが企業の情報
をもって顧客はそのサイトが本物であることを「理解」し
セキュリティへの取組みのひとつとして非常に重要な意味合い
「安心」して取引を行えばいいのか？
を持つのではないでしょうか。
当然インターネットが信用できないものになってしまえ
ば、その利用頻度も下がっていきます。多くの企業がそう
であるように、インターネットは今やビジネスのツールと
して企業、個人を問わず利用されています。その背景には、
遠隔地にいるお客様や取引先とリアルタイムに大量の情報
をやり取りすることにより、コストの抑制やビジネスの速
度など、従来では考えられなかったほどの効果をあげるこ
とができるからです。しかしフィッシング詐欺のターゲッ
トとなり信用を失うことで、せっかく向上したコストの削
減効果やビジネスの速度もふいになってしまうばかりか、
その Web サイトを運営している企業のブランドにも傷がつ
2006 Vol.43 No.3
51