宣戦布告！エンジニアはフィッシング詐欺を許さない

インターネット上で金融機関やオークションサイトなどになりすまし、個人情報を盗み出す「フィッシング」。利用者として「だまされない」心構えはもちろん、ネットにかかわるエンジニアなら、「だまさせない」技術／体制づくりも考えたい。

（文／川畑英毅　総研スタッフ／根村かやの）　作成日:05.05.11

　あたかも本物の金融機関などからのようなメールを使い、本物そっくりのウェブページに誘導し、クレジットカード番号やパスワードなどの情報を盗み取るフィッシング詐欺。英語圏では以前から深刻な問題となっていたが、日本でも、いよいよ本格化の兆しが見えてきている。
　日本で登場し始めたころは、いかにも機械翻訳されたような日本語、明らかに怪しいURLで「ニセモノ」とわかるものだったのが、最近では、JavaScriptを使って「正しい」URLが書かれたアドレスバー画像をブラウザ上に張り付けたりと、手口は巧妙化している。

「フィッシング（phishing）」とは、「ひっかける・釣る（fishing）」からきた言葉だが、いかにも利用者の心のスキを突くような洗練された（sophisticated）手段を使うことから「phishing」とつづるようになったらしい。愉快犯的なものもある一方で、ロシアや旧東欧圏のマフィアが絡んだ組織的犯罪として行われているとの話も。そして、偽サイトにうっかりカード情報などを入力してしまうと、犯人（フィッシャー）によって、口座が悪用されたり、金銭が勝手に引き出されたりという“リアル”な被害に結びつく。

　このように深刻な被害をもたらすにもかかわらず、にせのメールやウェブサイトには、普通、ウイルスやワームが埋め込まれているわけではないから、アンチウイルスソフトなどでは検出できない。また犯人側も、（巧妙さの度合いは別として）本当の身元がわからないようにメールを発信し、偽サイトを立ち上げることさえできれば、いわば“普通”のウェブ構築技術をもっていれば、「釣る仕掛け」をつくることが可能。フィッシングが加速度的に広がってきているのは、このためだ。

　では、このフィッシングに対して、われわれは何ができるのだろうか。この問題に詳しい、産業技術総合研究所の高木浩光氏はこう語る。

「サイトの真偽を直接検出するソフトウェアも開発されているが、それが広く普及すれば、ソフトの検出をかいくぐる手段が出てこないとは限らない。どうしても、最終的にはユーザー・リテラシーの問題になる。
　アクセス先が正しいかをユーザーが確認する技術的な手段は既にいろいろあるわけで、技術者として大切なのは、現在の状況を正しく理解し、既にある手段が活用できる正しいサイト設計を心がけることだと思う」

産業技術総合研究所
情報セキュリティ研究センター
高木浩光氏

　例えば商用サイトであれば、特に個人情報の入力を伴う部分は、SSL（Secure Sockets Layer）の暗号化通信を実装した「https」に始まるウェブページになっているのが一般的なはず。そうなっていれば、ユーザーがブラウザの錠前アイコンの存在を確認したり、そこからサーバー証明書を確認したりすることができる。
　また、フィッシングの仕掛けの入り口となる電子メールにも、S/MIME（Secure Multipurpose Internet Mail Extensions）と呼ばれる電子署名を付けることで「なりすまし」を防ぐことができる。

「より基本的なところでいえば、メールの形式自体、プレーンなテキストであれば、書かれたURLを直接確認でき、怪しいかどうか判別しやすい。偽サイトへの誘導に使われやすいHTMLメールは一切やめるべき。
　技術者の側としては、一般のユーザーへの周知をはかりながら、さまざまなレベルでのセキュリティ・ホールを“埋める”努力をしていかなければならない」（高木氏）

　では実際に、こうしたフィッシングを「迎え撃つ」側、金融会社やソフトウェア会社での動きを次章で見てみよう。

武富士が導入した電子認証システム。日本ベリサインの電子認証局構築サービス「ベリサインマネージドPKIサービス」を利用。S/MIME対応メーラーを使ってこれらのメールを開くと、認証印が確認でき（左上・赤い円内）、さらにこれをクリックすると、発信元や、内容が通信経路途中で改ざんされていないことなどが検証できる（右下）。

　昨年11月、ビザ・インターナショナルをかたったフィッシングメール／サイトが出現。当社ではメンバーである全クレジットカード発行会社に警告を発するとともに、利用者に注意を促すために積極的にニュースを発表しました。
　また、関係機関に報告するとともに、同様の詐欺が広がる恐れがあるので、情報交換と対策のための協議会をつくってほしいという提案を、経済産業省に対して行いました。このワーキンググループ内でその後、日本でも以前からフィッシング詐欺が発生していたことが明らかになっています。

　フィッシングの被害を最小限に食い止めるには、その発生をいち早く知り、できるだけ早く「偽情報」を断つことが重要。そのため、ユーザーからの報告を待つだけでは十分でないので、当社では故意にスパムを受け付けるアドレス「ハニーポット」をつくり、スパムの中に“VISA”の文字列があるかを自動検索。また、エージェントを使ってネット内の検索も行うようにしています。
　また、今年2月には、フィッシング情報を集約してISPや金融機関、ソフト会社に発信する仕組み、「Phish Report Network」の設立に、WholeSecurity、Microsoft、eBay、PayPalとともに当社も参加しています。今後、さらに詐欺の手段の巧妙化が考えられますが、それに対抗する体制づくりに、協力を惜しまないつもりです。

ビザ・インターナショナル・アジア・パシフィック・リミテッド
コーポレートコミュニケーションズ（日本）部長
ダニエル・リンツ氏

　弊社は、急増するフィッシング詐欺対策の一環として、昨年末から、弊社社員・スタッフの発信するすべての電子メールに電子認証「S/MIME」を実装しました。
　昨年夏ごろ、メール内容をチェックしていたときに、発信アドレスが「@takefuji.co.jp」と偽装されているスパムを発見したのがきっかけでした。直接フィッシング詐欺につながるものではありませんでしたが、それに発展する恐れがあると、対策を講じる必要を感じたのです。

　導入にあたっては、一般のお客様に発信することを考え、汎用のメーラーで使えること、受け手側で特別にソフトのインストールなどが必要ないことが前提で、かつ、マーケティングの視点から、SSL認証などでお客様にも認知度が高い日本ベリサイン株式会社を認証局として選択しました。
　フィッシング詐欺を防ぐための手段として、弊社だけでできることは限られているかもしれません。しかし、ネットにかかわるさまざまな企業・機関が、それぞれできる手段を講じていくことが、全体として、フィッシング詐欺の被害を最小限に食い止める力になると思っています。

株式会社武富士
情報システム部
係長
井上和義氏

　セキュアブレインは、インターネット環境をさまざまなセキュリティ上の脅威から守るソリューションの提供を目的として、昨年10月に設立された会社。その事業の第一弾として、３月31日にリリースを開始したのが、フィッシング対策ソリューション「PhishWall（フィッシュウォール）」です。

　これは、第三者認証と違い、エンドユーザー側から直接・リアルタイムに「自分がアクセスしているサーバーが本物かどうか」を確認する手段であるというところに特徴があります。フィッシュウォールは、簡単にダウンロード／インストールできるクライアント側アプリケーションがユニークなIDを自動生成して、対応サーバーに登録。次回アクセスからは、秘密キーでそのIDを確認し、ブラウザ上にシグナルで、そのサーバーの安全性を表示します。

　とかく、セキュリティ上の技術はイタチごっこになるのが常ですが、だからこそ、新しい手口が出たときにどれだけ手早く対処できるかが肝心。われわれエンジニア一人ひとりも、常に危機意識をもって情報をチェックし、対策を継続していくことが大切だと思います。

株式会社セキュアブレイン
プリンシパルセキュリティアナリスト
星澤裕二氏

　ネットワークという舞台上での「新しい犯罪」というイメージのフィッシングだが、他者になりすまし、人の心理のスキをついてだますという手口は古典的。いわば、ネット上の「振り込め詐欺」。それだけに、Part１で述べたように、「基本を押さえること」が、封じ込めの第一歩になる。

「まずサイトの運営者が対策のリーダーシップをとるべきだけれども、それには、社内の、本当によく勉強している技術者の言葉に耳を傾ける必要がある。
　一方では、技術者も会社に“使われるだけ”の態度でいてはダメ。技術的理解をベースに、どんな対策をとっていくか、正しい提案を行うのが技術者の務めです。『とにかくこれを導入すればいいんです』といった物言いではなく、サイト運営者を論理的に説得するプレゼンテーション能力が求められるところです」（前出・高木氏）

あなたを求める企業がある！

まずはリクナビNEXTの「スカウト」でチャンスを掴もう！

根村かやの(総研スタッフ)からのメッセージ

取材をしている間にも、「ファーミング（pharming）」というフィッシングの“進化系”登場というニュースが。もはや「釣り」ではなく、より効率的な「農業」になっているという。その一方で今後は、漁場をより狭く特定し、獲物に合わせてエサを工夫するやからも現れるはず。表面的な手口の変化に惑わされないために、技術的な理解をいっそう深めておく必要がありそうだ。