10月にオランダ国家犯罪対策局のTHTCが、ヨーロッパの巨大ボットネットを解体したというニュースが配信されたが、そのTHTCに参加しているEddy Willems氏が来日しており、話が聞けるとのことで、フィッシング対策協議会としてインタビューすることにした。Willems氏は、G Dataセキュリティラボの研究者および同社のセキュリティエバンジェリスト、EICAR(European Institute for Computer Anti-Virus Research)の主要メンバーの一人でもある。今回は、おもにヨーロッパのフィッシング動向についてインタビューした。Willems氏とG Data Software株式会社 代表取締役社長 Jag山本氏
ヨーロッパではネイティブなフィッシングサイトが増えている
協議会:まず、WillemsさんのG Data Softwareでの業務やEICARでの活動内容について教えていただけますか。
Willems氏:G Data Softwareが運営するセキュリティラボでは、おもにウイルス対策(Anti-Virus)ソフトについての研究を行い、論文などの発表を行っています。また、「エバンジェリスト」として、ウイルス対策やセキュリティ活動に関する啓発活動を行っています。私の場合は、とくに専門家だけでなく広く一般の人に向けての活動に力をいれています。新聞や雑誌、テレビなどを通じて予防対策の重要などを説いています。一般の人には、とにかく論理的な思考をするように勧めています。
EICARは、ウイルス対策に関する調査研究を行う非営利組織です。ここでの私の役割は、政府、大学、企業、CERT組織などのウイルス対策における協調作業を支援することです。一例として、ウイルス対策ソフトの機能を評価する業界標準となるテストファイルの作成を挙げることができます。
協議会:ヨーロッパのフィッシング被害の動向について教えてください。
Willems氏:ヨーロッパでのフィッシング状況は米国と似ていると思います。実際、米APWGとともに活動することも多いですが、ここ数年の特徴としては、オランダ、ドイツ、フランスといったヨーロッパ主要言語による、非常に完成度の高いフィッシングサイトが増えてきたことです。以前は、フィッシングサイトの多くが英語であり、英語圏のサービスやサイトを模倣するものでしたが、現在は主要国ネイティブのサービスやサイトを狙ったフィッシングが増えています。それも、偽装サイトのクオリティは上がっています。ちょっと前はGoogle Transを使ったような、多少知識のある人ならだまされることがないようなサイトだったのが、本物と見分けのつかないサイトも珍しくありません。銀行など金融系のフィッシングサイトの品質は高い傾向にあります。
協議会:SNSやオンラインゲームのフィッシングはどうでしょうか。日本でもこれらのサービスのフィッシングサイトの報告が増えています。
Willems氏:そうですね。ヨーロッパでも増えています。最近では「World of War Craft」というゲームのフィッシングサイトが問題になりました。この件ではベルギーのテレビ局に出演したこともあります。オンラインゲームのフィッシング被害で問題なのは、ゲームユーザは、ゲームの進行のじゃまになる、速度が遅くなるということで、ウイルス対策ソフトを無効にしたり、自動アップデートを禁止していたりすることです。OSやアプリケーションが最新でない状態で、攻撃サイトにアクセスしたりマルウエアをダウンロードしてしまった場合の被害は深刻です。対策ソフトによっては、ゲーム中だけ自動アップデートを止める機能を持っていることもあるし、実際にはゲームの速度にあまり影響がないこともあるのですが、こういった情報も周知していかなければならないと思っています。 Web 2.0以降に普及した、SNSなどのソーシャルメディアもフィッシングの標的にされています。現在、ドイツのマルウエアの感染経路の比率は、電子メール経由が1%前後に対してSNS経由の感染はすでに10%に達しています。それだけ攻撃者にも認知されたメディアということです。フィッシングサイトではありませんが、最近ではfacebookを狙った、koobfaceというワームが問題になりました。
SNSのフィッシングはマルウエア感染
協議会:日本でのSNSのフィッシングサイトはアカウント窃取して、その人になりすまして攻撃サイトに誘導するなどして、マルウエアに感染させたりする目的が多いようですが、ヨーロッパでのソーシャルメディアのフィッシングサイトはどのような目的で立てられていますか。
Willems氏:ヨーロッパではFacebookがSNSとしてポピュラーですが、同様な目的のフィッシングサイトも確認されています。SNSの場合、直接金銭が狙われることは少ないですが、個人情報の窃取、マルウエア感染が問題となっています。金銭被害が少ないせいか、SNSサイトは金融機関のサイトほどセキュアな作りになっていません。
金融機関のセキュリティ対策とたとえば、たとえば顧客にこんな端末(写真)を配布している銀行もあります。
協議会:見た目は電卓のようですが、それはワンタイムパスワードのトークンとは違うのですか。
Willems氏:違います。オンラインバンキングで振り込みなど現金の移動を行う場合、まず、この端末にキャッシュカードを挿入します。そして、銀行サイトに表示された「チャレンジ値」を端末から入力し、自分のPINコードを入力します。すると、この端末のディスプレイに「レスポンス値」が表示されます。サイトでは、このコードを送金のためのキーとして入力し、一致しないと送金処理が行われません。 このしくみは、まず自分のキャッシュカードが必要であり、それに対応するPINコードを知っていなければなりません。もちろん、キーとなるレスポンス値を計算してくれるこの端末も必要です。乱数のシードをトークンとサーバ側で共有するワンタイムパスワード方式より、必要なアイテムが多いのでよりセキュアといえます。
協議会:なるほど。国によって認証方法の工夫が興味深いですね。次の質問ですが、フィッシングに対する教育や啓発プログラムのようなものはどうでしょうか。
Willems氏:基本的には各国ごとに取り組んでいるといった状態です。ベンダー、各国CERT、関連組織などが個別に教育啓発活動を展開しています。もちろん連携するプログラムもあります。教育コンテンツについては、ドイツ、フランス、オランダ、ベルギーなどが進んでいます。フィッシング対策協議会の「フィッシングフィル」のようなゲームコンテンツもあります。興味深いのは、年齢ごとにゲームやコンテンツを用意して、年代にあったセキュリティ教育を展開している点です。下は6歳くらいの子供を対象にしたコンテンツがあります。内容は、セキュリティ上の脅威を直接教えるというより、スパムはよくないとか、ウイルスに感染するよ、といった感覚的に良いこと、悪いことを教えるようなものになっています。
写真はベルギーのセキュリティ教育プログラムの例(6歳~9歳向けのゲーム)
SNSのフィッシングはマルウエア感染
協議会:将来的な脅威というか、今後問題になりそうな技術や注視している脅威などはありますか。たとえばスマートフォンなどです。
Willems氏:キーワードは2つあると思っています。ひとつはボットネット。もうひとつは64ビット版のWindows 7です。今年オランダで大規模なボットネットが解体されましたが、攻撃者は、当然新しい攻撃インフラとしてのボットネットを構築しようと思っているでしょう。この動きは注意しています。
もうひとつのWindows 7は、ヨーロッパでも急速にシェアを広げています。同時に、64ビット版Window 7用のルートキットも確認されています。また、Windows Vista以降、ソフトウェアを自動的にインストールすることは難しくなっているのですが、Windows 7の強力な保護認証機能を無効にするマルウエアも存在しています。現在、ヨーロッパではWindow XPのシェアが5~60%くらいと高いですが、大企業、中小企業ともにIT投資は活発でWindows 7のシェアも20%ちかくあります。ちなみに、Linux、MacOSなどは合わせて7%くらいです。我々の予想では2011年にはWindows 7のシェアは30%を超えるだろうと思っています。
反面、スマートフォンや携帯電話のセキュリティ被害はあまり深刻ではありません。もちろん将来もこの状態が続くかどうかは不明ですが、現状では、攻撃者はスマートフォンや携帯電話を効率のよい攻撃対象と思っていないようです。Symbean、iOSなどいわば特殊なプラットフォームであり、手間をかけて攻撃しても得るものが少ないとみていのでしょう。オープンなプラットフォームであるAndroidが普及してくると状況は変わるかもしれません。
協議会:本日は、貴重なお話をありがとうございました。