~ フィッシングとは金融機関などを装った電子メールを送り口座番号、パスワード、クレジットカード番号などの個人情報を詐取する行為です ~

HOME > ニュース > インタビュー > 第15回:脅威のレイヤが上位にシフトし対策が困難に―トレンドマイクロ

インタビュー

第15回:脅威のレイヤが上位にシフトし対策が困難に―トレンドマイクロ

2011年02月07日

20110207trendmicro01.jpg

近年クライアント環境のセキュリティ対策ソフトは、ウイルス検索・駆除やフィッシング対策機能、侵入検知システムなどを統合したソリューションやサービスに移行しつつある。攻撃手法が多様化する中、エンドユーザのPCでも、複数の対策を連携させる必要性が高まっているからだろう。
 今回の「フィッシング対策の現場から」はセキュリティ対策ベンダーのトレンドマイクロにインタビューをお願いし、このような現状を踏まえたうえでのフィッシング対策についての考え方を聞いてみた。対応してくれたのは、トレンドマイクロのセキュリティエキスパート本部 フォワードルッキングスレットリサーチ セキュリティスペシャリスト 林憲明氏である。


写真:林氏(左)とセキュリティエキスパート本部 エンタープライズサポートグループ パートナーサポートセンター 担当課長代理 岡本勝之氏(右)

 

セキュリティベンダーの考えるフィッシング対策

協議会:総合セキュリティベンダーの場合、フィッシングに限らずあらゆる情報セキュリティの脅威への対策を考えなければならないかと思います。その視点からで結構なのですが、現在のフィッシングの動向については、どのようにとらえていますか。

 

林氏:トレンドマイクロはグローバルで、各国のフィッシングの動向の違いを調査しています。日本や欧米などの国によって、フィッシングサイトとして偽装される業種やサービスに特徴があると思います。ただし、共通の目的は「お金」であるため、概して金融系のサイトは狙われやすいことには違いはありません。例として、米国などはかなり以前から金融機関のフィッシングサイトが問題視され、金融機関も対策をとっています。また、ユーザ側も金融機関のサイトにはフィッシングサイトも存在するという認識が進んでいるので、それ以外の「穴」をつくようなサイトの報告が増えています。例えば、米国では大学のポータルサイトのフィッシング事例(注1)が報告されています 。学生のアカウント情報を狙ったものですが、その目的はよくわかっていません。
日本も、フィッシングへの対策やユーザの認知が進んでいるのは同様で、クレジットカード会社を狙ったサイトのフィッシングは減少傾向にありますが、一方でオークションサイトやオンラインゲームのフィッシングが増加しています。

 

(注1)カンザス州立大学にて報告された事例となります。詳細は以下サイトをご確認ください。

 InfoTech Tuesday New type of phishing attack threatens K-State passwords

 http://itnews.itac.k-state.edu/2010/02/new-type-of-phishing-attack-threatens-k-state-passwords/

 

協議会:フィッシングサイトのURLなど、情報はどのように収集しているのですか。また、とくに重要視している情報源などはありますか。

 

林氏:まず、情報収集の体制として、世界中の脅威情報の収集、ソリューション提供をしている「TrendLabs(トレンドラボ)」に加え、地域特有の攻撃等への迅速な対応を図るための「リージョナルトレンドラボ」を世界10拠点に設置しています。またフィッシング対策組織や大学など研究諸機関の窓口として、フォワードルッキングスレットリサーチと呼ばれるポジションを用意しています。このポジションは、"将来起こりうる脅威"に着目し、トレンドマイクロが備えるべき製品/技術の方向性を示す役割を負っています。
現在、トレンドマイクロがメンバーまたは協力体制を組んでいる主なフィッシング対策組織としては、日本のフィッシング対策協議会、中国のAnti Phishing Alliance of China、ブラジルのCERT、米国のAnti-Phishing Working Group(注2)などになりますが、そこからのフィッシング情報や、トレンドマイクロ独自のWebクローラーからの情報が対策において重要となっています。もちろん、ユーザからの報告やウイルス対策ソフトからの情報も利用しています。フィッシング対策という視点では、電子メールのハニーポットからの情報もはずせないですね。
 これらの情報源で、とくに優先し特別に扱っているものはありません。複数の情報源から同じ脅威や攻撃が検出されることが多いですが、情報の重複度合いを見る必要などから、特定の情報源に頼ることはしません。最終的に、得られた情報を、前述のフィッシング対策組織からの情報で確認するという手順をとることが多いです。

 

(注2)Anti-Phishing Working Group Sponsors
 http://www.antiphishing.org/sponsors.html

 

協議会:PhishTankのようなデータベースを利用することはないですか。

 

林氏:PhishTnakをそのまま利用することはありませんが、APWGやその他の組織とも常に情報交換などを行っているので、結果的にPhishTnakの内容と同じになることはあるかもしれません。

 

多角的な情報を多層防衛に役立てる

 

協議会:収集した情報は、具体的にどのように製品やサービスで利用していますか。

 

林氏:トレンドマイクロでは、Webのセキュリティ対策としてデータベースを稼働させていますが、これには2種類のデータが存在します。ひとつはURLの危険度などを評価した値(レーティング)を管理する「Webレピュテーション」と呼ばれるもの。もうひとつは、「URLカテゴリ」のデータです。「Webレピュテーション」は、Webサイトの運用履歴を常にモニタリングして、Webサイトの評価値をデータベース化しています。「フィッシング」サイトの場合、頻繁にURLが変更されるなど、運用が不安定であったり、ドメインが登録されてからの期間が極めて短いなどの特徴があげられます。こうした項目をレピュテーション(評判)の判断材料として数値化しています。
「URLカテゴリ」は、そのWebコンテンツの種類や趣旨を分類したものです。例えば、フィッシングサイトのURLであれば「フィッシング」と分類されています。これら2つのデータにより、危険と判定されたサイトには接続を制限したり、警告を表示しています。

 

協議会:ウイルス対策ソフトとの連携についてはどうですか。

 

20110207trendmicro02.jpg

 

林氏:トレンドマイクロの総合的な対策は「スマートフィードバック」と呼ばれる技術により、各製品で見つかった脅威の情報をインターネットクラウド上のデータベース「SPN:Smart Protection Network」に蓄積していくこととファイル、Web、メールを相関分析してリアルタイムに対策に反映することにあります。
例えば、攻撃がスパムメールの送信から始まったとします。「SPN」は電子メールを評価する仕組み「E-mailレピュテーション」によって送信元のIPアドレスを確認、クラウドのデータベースの「評価」と照合し、有害と判定されたメールサーバから送られてきたものは受信せずにブロックします。
このとき、スパムと判断されたメールに記載されているURLはWebとしての分析がなされ、その「評価」が「Webレピュテーション」のデータベースに登録されます。また、スパムメールに添付されたファイルや記載URLからダウンロードされるファイルについても、分析・評価の後「ファイルレピュテーション」に登録されます。
更にこうして得られた疑わしきファイルはウイルス解析センター「TrendLabs」にて詳細解析が行われます。その結果は、ウイルスパターンファイルの更新情報として利用されることはもちろん、仮にウイルス解析の結果、外部接続性のあるようなものを発見すれば、その接続先のURLの情報を「Webレピュテーション」に送っています。このようメール、URL、ファイルに関する情報を交換・分析し、それぞれのデータベースの精度を高めています。

 

誤判定に厳しい日本のユーザ

 

協議会:誤判定についての対策などは、どのように行っていますか。

 

林氏:欧米のユーザに比べ、日本のユーザは一時的にでも誤判定でサイトにアクセスできないことをネガティブに考える傾向が強いように感じます。危険サイトは排除してほしいが、自分がよく使うサイトが見られないのはそれ以上に困るという声もあります。この問題に対しては、ホワイトリストを充実させることで回避していますが、誤判定ではなく、メジャーなサイトのドメイン配下にフィッシングサイトなどが立てられた場合の対処は、ユーザを被害から守ることと利便性を損なわないことの両面から慎重な対処が求められるケースと言えます。

 

協議会:フィッシングサイトのURLを入手してから、関連のデータベースに情報が反映されるまでの時間はどれくらいかかりますか。

 

林氏:そのURLが危険かどうか、本当にフィッシングサイトかどうかの判定にかかる時間はケースバイケースなので、なかなか申し上げにくいのですが、目安として、最短で15分以内にデータベースへの反映が終わっています。

 

協議会:フィッシングやその他の脅威について、これから注意すべきものなどはありますか。

 

林氏:これまでは、FTPやSMTP、HTTPといったプロトコルをユーザが直接アクセスするようなアプリやサービスが主流でしたが、現在はHTTPをベースとしたAPIによるサービスが多数を占めています。このような状態は、インターネットの上位レイヤのもうひとつにレイヤが追加された状態といえます。このような「新しいレイヤ」に対するセキュリティ技術や対策を考えなければならないと思っています。
 技術的にはHTTPなのですが、利用者から見た場合、HTTPより上位のサービス、具体的には、SNS、マイクロブログ、短縮URL、その他としか見えていません。そして、上位レイヤほど抽象化が進み、攻撃は技術的な工夫というより人間を騙す要素が増えてくるでしょう。従って、対策もマナーやリテラシーなど人間に関わる部分がますます増えると思っています。

 

協議会:最後にフィッシング対策協議会に対するご意見、ご要望はありますか。

 

林氏:フィッシングURLの情報共有については、現状でもうまくいっていると思っていますが、フィッシングメールの送信元IPアドレスについても、フィッシングURLと同様な情報共有の仕組みがあるとうれしいですね。また、有料情報の提供サイトや占いサイト、懸賞サイトの中には、非常にグレーなサイトが多くあります。詐欺かどうかのボーダーライン上に位置しており、評価やレーティングが難しい事例について、業界やフィッシング対策協議会などと共有し相談できる場があってもよいかもしれません。

 

協議会:本日は、貴重なお話をありがとうございました。