基礎解説:フィッシング詐欺

いまさらフィッシング詐欺にだまされないために

星澤 裕二
株式会社セキュアブレイン
2004/12/25



 メールにおけるフィッシング詐欺対策

 メールにおけるフィッシング詐欺対策の1つはアンチスパム技術を拡張したものである。こうしたソリューションはウイルス対策ベンダから提供されている。メールのヘッダや本文をチェックし、次のような条件を満たしている場合に警告を出したり、メールを排除したりする仕組みだ。

  • 差出人を詐称している
  • 既知のフィッシングサイトのURLが含まれている
  • URL中の文字列をエンコードしている
  • IPアドレス、ポート番号が指定されているなどの怪しいURLが含まれている

 もう1つは、メールの送信元が信頼できるものかどうか確認する送信者認証技術と呼ばれる技術だ。Microsoftの「SenderID」とYahoo!の「DomainKeys」がある。SenderIDは、DNSの仕組みを利用し、送信者がメール送信に利用しているメールサーバを特定し、送信元アドレスで示されるドメインと同じ場所から送信されているかどうかを確認する技術だ。一方のDomainKeysは、電子署名を利用しメール送信者の身元を識別する。差出人の秘密鍵を使って暗号化した署名をメールのヘッダに埋め込み、受信側のサーバが公開鍵を使って署名を認証する。

 しかし、送信者認証には問題点もある。フィッシャー(フィッシング詐欺をはたらく側)も送信者認証技術を利用できてしまうことや送信者認証技術でメールの善悪を判断することはできないといったことだ。また、最近では、詐欺目的のサイトを構築し、検索エンジンなどを通してユーザーを誘導する手口も存在するのでメール側での対策だけでは不十分である。

 Webにおけるフィッシング詐欺対策

 Webにおけるフィッシング詐欺対策にはURLフィルタリングとサーバ認証が挙げられる。フィッシングサイトのアドレスをデータベースに登録し、Webアクセスの際にチェックするのがURLフィルタリングである。これにより既知の偽サイトに訪問するのを防ぐことが可能である。

 しかし、既知のフィッシングサイトのURLを登録するブラックリスト方式の場合、リストの更新が追いつかないといった問題もある。フィッシング詐欺サイトのライフサイクル(フィッシング詐欺サイトが公開されてからそのサイトが閉鎖されるまでの期間)は5、6日程度である。発見されたフィッシングサイトがデータベースに登録され、ユーザーがそれを導入するころには該当サイトがなくなっていているといったこともあるのだ。

 もう1つのWeb側でのフィッシング詐欺対策はサーバ認証である。サーバ証明書を認証することにより、通信相手が本物に間違いないかを確認できる。しかしこれも証明書を借用、偽造して、信頼できるサイトのように見せ掛けることができるという脆弱性も発見されているため万全なソリューションとはいえない。

 いまさらフィッシング詐欺にだまされないために

 振り込め詐欺(オレオレ詐欺)や架空請求などと同様、フィッシング詐欺の手口も日々進化している。金銭目的のフィッシャーは、ウイルス作者のように技術力を誇示したい愉快犯ではなく犯罪のプロの可能性が高い。そのため、今後、フィッシング詐欺の手口はますます巧妙になっていくだろう。

 フィッシング詐欺にだまされないためにはユーザーのセキュリティ意識の向上が必須である。しかし、すべてのユーザーがフィッシング詐欺にだまされないようなセキュリティの意識を持つことは事実上無理だ。やはり、システム的に何らかの対策が必要なのである。しかも、分かりやすくて確実な新しいフィッシング詐欺防御ソリューションが求められる。

3/3


Index
いまさらフィッシング詐欺にだまされないために
  Page1
フィッシング詐欺とは
フィッシング詐欺による被害
フィッシング詐欺テクニック
  Page2
自衛手段とその問題点
フィッシング詐欺防御ソリューション
Page3
メールにおけるフィッシング詐欺対策
Webにおけるフィッシング詐欺対策
いまさらフィッシング詐欺にだまされないために

関連記事
フィッシング詐欺対策として企業が負うべき責任

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間