「ステルス型フィッシングが忍び寄る」、米対策団体が警告

2005/1/28

 セキュアブレインは1月27日、米国のフィッシング詐欺の現状と対策を紹介する記者説明会を開催した。講師として米国のフィッシング詐欺対策ワーキンググループ「Anti-Phishing Working Group」(APWG)の事務局長を務めるピーター・キャシディ(Peter Cassidy)氏が来日した。なお、セキュアブレインもAPWGに参加している。

Anti-Phishing Working Group(APWG)の事務局長 ピーター・キャシディ氏

 APWGの2004年12月分のレポートによれば、1707件のフィッシングサイトが活動中(11月時点)で、ターゲットとされたブランドは55であった。2004年7月からの月当たりの平均増加数は24%で急速に偽サイトが増殖しているのが分かる。キャシディ氏によれば、「この数字はAPWGに届けられた数字でかなり正確だと思うが、当然報告されていないものもあるはず」とのことだ。

 あるフィッシング詐欺サイトが存続しているのは平均して5.9日で、最長でも30日程度だ。63%のWebサイトがホストネームを持たずIPアドレスのみで公開されている。ホスティングに利用されている国の上位は米国、韓国、中国となっている。

 フィッシング詐欺の手口は、古典的なソーシャルエンジニアリングが主流である。例えば、「あなたの口座の再認証が必要です」「あなたの口座で疑わしい取引が行われました」といった電子メールが送りつけられ、その電子メールに埋め込まれたURLをクリックすると本物の金融機関のWebサイトとそっくりな偽サイトに誘導されるといった具合だ。

 ところが「最近、ステルス型と呼ばれるフィッシングの手口が広まりつつある」とキャシディ氏は警告する。古典的な手法がユーザーに何らかのアクションを要求するもの(フォームにユーザーIDとパスワードを入力させるなど)だったのに対して、ステルス型とは自動的にキーロガーなどをダウンロードさせて、本人がまったく気付かないうちに個人情報を盗み出す手口を指す。

 「われわれの予想を上回るスピードで手法が複雑に進化している」とキャシディ氏は嘆く。もともとキーロガーはクラッカーによって作成されたもの以外にも市販品が流通していたため「キーロガーを仕込む手法の登場はなんら驚きに値しない」(同氏)という。問題となるのは、キーロガーがトロイの木馬やコンピュータ・ウイルスだけでなく、脆弱性を放置した「Internet Information Server」(IIS)サーバを乗っ取ることで、悪意のあるJavaScriptを仕込んだWebサイトが広まってしまうことにある。これにより「ユーザーをだます必要がなくなる」(同氏)のだ。APWGの調査によれば、乗っ取られたフィッシングサイトの大半はブロードバンドで常時接続された家庭のPCであるという。

 キャシディ氏は、「今後はステルス型が主流になるだろう。古典的なソーシャルエンジニアリングと連携することで脅威は増加する。悪の技術にはまだまだ拡張の余地があるが、善の技術も革新的に進歩することができる」と語った。

(@IT 岡田大助)

[関連リンク]
セキュアブレイン
Anti-Phishing Working Group

[関連記事]
シマンテック“スピンアウト組”が設立した新会社の実力 (@ITNews)
サーバとクライアントの相互認証でフィッシング詐欺を壊滅? (@ITNews)
「フィッシング110番」にリンリンリン、警察庁 (@ITNews)
うそメールでフィッシング詐欺の「予防訓練」、トレンドとNTT西 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)