• はてなブックマークに追加
  • Yahoo!ブックマークに登録
既に国内商用サイトまで被害拡大、求められるのは技術者の提案力 宣戦布告!エンジニアはフィッシング詐欺を許さない
インターネット上で金融機関やオークションサイトなどになりすまし、個人情報を盗み出す「フィッシング」。利用者として「だまされない」心構えはもちろん、ネットにかかわるエンジニアなら、「だまさせない」技術/体制づくりも考えたい。

(文/川畑英毅 総研スタッフ/根村かやの) 作成日:05.05.11
Part1 フィッシング詐欺で「だまさせない」技術が求められている
巧妙な「なりすまし」が日本でも本格化?
 
 あたかも本物の金融機関などからのようなメールを使い、本物そっくりのウェブページに誘導し、クレジットカード番号やパスワードなどの情報を盗み取るフィッシング詐欺。英語圏では以前から深刻な問題となっていたが、日本でも、いよいよ本格化の兆しが見えてきている。
 日本で登場し始めたころは、いかにも機械翻訳されたような日本語、明らかに怪しいURLで「ニセモノ」とわかるものだったのが、最近では、JavaScriptを使って「正しい」URLが書かれたアドレスバー画像をブラウザ上に張り付けたりと、手口は巧妙化している。

「フィッシング(phishing)」とは、「ひっかける・釣る(fishing)」からきた言葉だが、いかにも利用者の心のスキを突くような洗練された(sophisticated)手段を使うことから「phishing」とつづるようになったらしい。愉快犯的なものもある一方で、ロシアや旧東欧圏のマフィアが絡んだ組織的犯罪として行われているとの話も。そして、偽サイトにうっかりカード情報などを入力してしまうと、犯人(フィッシャー)によって、口座が悪用されたり、金銭が勝手に引き出されたりという“リアル”な被害に結びつく。

 このように深刻な被害をもたらすにもかかわらず、にせのメールやウェブサイトには、普通、ウイルスやワームが埋め込まれているわけではないから、アンチウイルスソフトなどでは検出できない。また犯人側も、(巧妙さの度合いは別として)本当の身元がわからないようにメールを発信し、偽サイトを立ち上げることさえできれば、いわば“普通”のウェブ構築技術をもっていれば、「釣る仕掛け」をつくることが可能。フィッシングが加速度的に広がってきているのは、このためだ。
技術者に何ができるか
 
 では、このフィッシングに対して、われわれは何ができるのだろうか。この問題に詳しい、産業技術総合研究所の高木浩光氏はこう語る。

「サイトの真偽を直接検出するソフトウェアも開発されているが、それが広く普及すれば、ソフトの検出をかいくぐる手段が出てこないとは限らない。どうしても、最終的にはユーザー・リテラシーの問題になる。
 アクセス先が正しいかをユーザーが確認する技術的な手段は既にいろいろあるわけで、技術者として大切なのは、現在の状況を正しく理解し、既にある手段が活用できる正しいサイト設計を心がけることだと思う」
高木浩光氏
産業技術総合研究所
情報セキュリティ研究センター
高木浩光氏
 例えば商用サイトであれば、特に個人情報の入力を伴う部分は、SSL(Secure Sockets Layer)の暗号化通信を実装した「https」に始まるウェブページになっているのが一般的なはず。そうなっていれば、ユーザーがブラウザの錠前アイコンの存在を確認したり、そこからサーバー証明書を確認したりすることができる。
 また、フィッシングの仕掛けの入り口となる電子メールにも、S/MIME(Secure Multipurpose Internet Mail Extensions)と呼ばれる電子署名を付けることで「なりすまし」を防ぐことができる。

「より基本的なところでいえば、メールの形式自体、プレーンなテキストであれば、書かれたURLを直接確認でき、怪しいかどうか判別しやすい。偽サイトへの誘導に使われやすいHTMLメールは一切やめるべき。
 技術者の側としては、一般のユーザーへの周知をはかりながら、さまざまなレベルでのセキュリティ・ホールを“埋める”努力をしていかなければならない」(高木氏)

 では実際に、こうしたフィッシングを「迎え撃つ」側、金融会社やソフトウェア会社での動きを次章で見てみよう。
S/MIMEによる電子メール認証
S/MIMEによる電子メール認証
武富士が導入した電子認証システム。日本ベリサインの電子認証局構築サービス「ベリサインマネージドPKIサービス」を利用。S/MIME対応メーラーを使ってこれらのメールを開くと、認証印が確認でき(左上・赤い円内)、さらにこれをクリックすると、発信元や、内容が通信経路途中で改ざんされていないことなどが検証できる(右下)。
Part2 フィッシング詐欺との戦い
エージェントなどを使い、フィッシングの「芽」を積極的に見つける ビザ・インターナショナル・アジア・パシフィック・リミテッド
 昨年11月、ビザ・インターナショナルをかたったフィッシングメール/サイトが出現。当社ではメンバーである全クレジットカード発行会社に警告を発するとともに、利用者に注意を促すために積極的にニュースを発表しました。
 また、関係機関に報告するとともに、同様の詐欺が広がる恐れがあるので、情報交換と対策のための協議会をつくってほしいという提案を、経済産業省に対して行いました。このワーキンググループ内でその後、日本でも以前からフィッシング詐欺が発生していたことが明らかになっています。

 フィッシングの被害を最小限に食い止めるには、その発生をいち早く知り、できるだけ早く「偽情報」を断つことが重要。そのため、ユーザーからの報告を待つだけでは十分でないので、当社では故意にスパムを受け付けるアドレス「ハニーポット」をつくり、スパムの中に“VISA”の文字列があるかを自動検索。また、エージェントを使ってネット内の検索も行うようにしています。
 また、今年2月には、フィッシング情報を集約してISPや金融機関、ソフト会社に発信する仕組み、「Phish Report Network」の設立に、WholeSecurity、Microsoft、eBay、PayPalとともに当社も参加しています。今後、さらに詐欺の手段の巧妙化が考えられますが、それに対抗する体制づくりに、協力を惜しまないつもりです。
ダニエル・リンツ氏
ビザ・インターナショナル・アジア・パシフィック・リミテッド
コーポレートコミュニケーションズ(日本)部長
ダニエル・リンツ氏
全社員のメールに電子認証を付加、「なりすまし」を防ぐ 株式会社武富士
 弊社は、急増するフィッシング詐欺対策の一環として、昨年末から、弊社社員・スタッフの発信するすべての電子メールに電子認証「S/MIME」を実装しました。
 昨年夏ごろ、メール内容をチェックしていたときに、発信アドレスが「@takefuji.co.jp」と偽装されているスパムを発見したのがきっかけでした。直接フィッシング詐欺につながるものではありませんでしたが、それに発展する恐れがあると、対策を講じる必要を感じたのです。

 導入にあたっては、一般のお客様に発信することを考え、汎用のメーラーで使えること、受け手側で特別にソフトのインストールなどが必要ないことが前提で、かつ、マーケティングの視点から、SSL認証などでお客様にも認知度が高い日本ベリサイン株式会社を認証局として選択しました。
 フィッシング詐欺を防ぐための手段として、弊社だけでできることは限られているかもしれません。しかし、ネットにかかわるさまざまな企業・機関が、それぞれできる手段を講じていくことが、全体として、フィッシング詐欺の被害を最小限に食い止める力になると思っています。
井上和義氏
株式会社武富士
情報システム部
係長
井上和義氏
エンドユーザーがサイトの真偽を確認する手段を提供 株式会社セキュアブレイン

 セキュアブレインは、インターネット環境をさまざまなセキュリティ上の脅威から守るソリューションの提供を目的として、昨年10月に設立された会社。その事業の第一弾として、3月31日にリリースを開始したのが、フィッシング対策ソリューション「PhishWall(フィッシュウォール)」です。

 これは、第三者認証と違い、エンドユーザー側から直接・リアルタイムに「自分がアクセスしているサーバーが本物かどうか」を確認する手段であるというところに特徴があります。フィッシュウォールは、簡単にダウンロード/インストールできるクライアント側アプリケーションがユニークなIDを自動生成して、対応サーバーに登録。次回アクセスからは、秘密キーでそのIDを確認し、ブラウザ上にシグナルで、そのサーバーの安全性を表示します。

 とかく、セキュリティ上の技術はイタチごっこになるのが常ですが、だからこそ、新しい手口が出たときにどれだけ手早く対処できるかが肝心。われわれエンジニア一人ひとりも、常に危機意識をもって情報をチェックし、対策を継続していくことが大切だと思います。
星澤裕二氏
株式会社セキュアブレイン
プリンシパルセキュリティアナリスト
星澤裕二氏
技術者に求められる、「正しい提案」の力
 ネットワークという舞台上での「新しい犯罪」というイメージのフィッシングだが、他者になりすまし、人の心理のスキをついてだますという手口は古典的。いわば、ネット上の「振り込め詐欺」。それだけに、Part1で述べたように、「基本を押さえること」が、封じ込めの第一歩になる。

「まずサイトの運営者が対策のリーダーシップをとるべきだけれども、それには、社内の、本当によく勉強している技術者の言葉に耳を傾ける必要がある。
 一方では、技術者も会社に“使われるだけ”の態度でいてはダメ。技術的理解をベースに、どんな対策をとっていくか、正しい提案を行うのが技術者の務めです。『とにかくこれを導入すればいいんです』といった物言いではなく、サイト運営者を論理的に説得するプレゼンテーション能力が求められるところです」(前出・高木氏)
  • はてなブックマークに追加
  • Yahoo!ブックマークに登録
あなたを求める企業がある!
まずはリクナビNEXTの「スカウト」でチャンスを掴もう!
スカウトに登録する
  根村かやの(総研スタッフ)からのメッセージ  
根村かやの(総研スタッフ)からのメッセージ
[]
[]
取材をしている間にも、「ファーミング(pharming)」というフィッシングの“進化系”登場というニュースが。もはや「釣り」ではなく、より効率的な「農業」になっているという。その一方で今後は、漁場をより狭く特定し、獲物に合わせてエサを工夫するやからも現れるはず。表面的な手口の変化に惑わされないために、技術的な理解をいっそう深めておく必要がありそうだ。
[]
[]

このレポートを読んだあなたにオススメします

営業・顧客が「さすがプロ」と言う、ありがち質問への模範解答

「S/MIME導入でメールは安心だね」と聞かれたら?

エンジニアたるもの、新技術を導入したいのは山々だけれど、もちろんそれは“使うツボ”を押さえてこそ。単に「はやってるんだ…

「S/MIME導入でメールは安心だね」と聞かれたら?

スマートフォンの普及でセキュリティや個人情報が危ない

高木浩光が語る!プライバシーを守るのは真心である

ブログ「高木浩光@自宅の日記」で、独自にセキュリティやプライバシーの問題を指摘する高木浩光氏。「セキュリティ・エバンジ…

高木浩光が語る!プライバシーを守るのは真心である

基礎医学、統計学、通信技術、暗号etc.

来年は2300億円に!?生体認証市場が求める意外な技術

「なりすまし」による被害が激増しているなか、いよいよ注目されているのが、個人の生体的特徴によって認証を行う、生体認証(…

来年は2300億円に!?生体認証市場が求める意外な技術

キャリアプランはひとつじゃない!可能性∞の今だから考えよう

悩める20代ITエンジニアへ☆転機は自分で呼び込め

新年度の春、大ざっぱでもよいから、少し先のキャリアプランを考えてみてはどうだろう。特にお奨めしたいのは、仕事に慣れてきた20代の…

悩める20代ITエンジニアへ☆転機は自分で呼び込め

SE兼マンガ家よしたにの「理系の人々」

あの製品にも共通規格の導入を求めたい!/理系の人々

SE兼マンガ家よしたにの「理系の人々」身近にある製品で、共通規格化したらいいのになぁと思う仕様はありますか?……毎度おなじみ「理系の人々」第101回目は、オ…

あの製品にも共通規格の導入を求めたい!/理系の人々

IT業界、生保業界…7人の人事に聞いたウラ事情

人事担当者が告白!転職者の給与はこうして決まる

「前給考慮」「経験能力に応じて優遇」などは募集条件でよく見る言葉。でも前給や経験能力を、具体的にどう考慮して給与を決め…

人事担当者が告白!転職者の給与はこうして決まる

この記事どうだった?

あなたのメッセージがTech総研に載るかも

あなたの評価は?をクリック!(必須)

あなたのご意見お待ちしております

こちらもお答えください!(必須)

歳(半角数字)
(全角6文字まで)
  • RSS配信
  • twitter Tech総研公式アカウント
  • スカウト登録でオファーを待とう!
スマートグリッド、EV/HV、半導体、太陽電池、環境・エネルギー…電気・電子技術者向け特設サイト

PAGE TOP