~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > ニュース > インタビュー > 第16回:被害事例や件数などネガティブ情報も隠さない―ヤフー

インタビュー

第16回:被害事例や件数などネガティブ情報も隠さない―ヤフー

2011年03月07日

20110307yahoo01.JPG

月間のアクセス数が450億ページビューを超える巨大ポータルサイトであるYahoo! JAPANは、フィッシングサイトの報告件数も多く、攻撃者にとっても大きなターゲットである。フィッシングサイトは、偽造しやすいとか管理が甘いといったこととは関係なく、攻撃者にとって価値のあるサイトが狙われるので、金融機関や大手ポータルサイトが狙われるのは世界共通である。


しかし、ログインシール、EV SSLといった対策技術やユーザーの啓発プログラムなど、サイト側でできることは存在する。ヤフーではフィッシングに対してどのような対策をとっているのだろうか。


今回、インタビューに対応してくれたのは、ヤフー株式会社 R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリスト 戸田薫氏(写真左)、同コンシューマ事業統括本部 ECオペレーション本部 安全対策 稲数裕之氏(写真右)の2名である。

 

2010年のフィッシングは減少もしくは横ばいだが

協議会:さっそくですが、ヤフー株式会社(以下ヤフー)から見た最近のフィッシング動向はどのような状況でしょうか。とくに日本最大のポータルサイトを運営する立場で、なにか特徴的な事例などはありますか。

 

戸田氏:フィッシング被害の傾向に他社との違いはあまりないと思います。2009年は年始から年末にかけて件数の上昇傾向が見られましたが、2010年は、年末にかけてフィッシングの被害は減少もしくは横ばいという傾向が確認されました。


また、この半年の間では、海外ではなく国内のサーバーに立てられたフィッシングサイトが増えてきています。あとは、ID、パスワードを狙ったフィッシングサイトが減ってきており、直接クレジットカード番号を狙ったサイトが増えているというデータも確認しています。

 

協議会:フィッシングサイトの検出はどのような形で行っていますか。また、検出や通報を受けてからサイトの停止までの対策手順などはどうでしょうか。

 

戸田氏:基本的には、Yahoo!ツールバーの検出・報告機能を利用した通報と、ユーザーからのヘルプや問い合わせからの通報になります。ツールバーについては、セキュリティ対策などの機能が強化されているので配布を積極的に展開して、なるべく多くのユーザーに使ってもらうようにしています。ツールバーの検出機能と報告ボタンによって、現在ヤフーに寄せられるフィッシングサイト情報のほとんどはツールバーによるものとなります。


通報を受けたサイトがフィッシングサイトであると確認されたら、サイト上に「お知らせ」としてその情報を公開するとともに、フィッシングサイトが公開されていプロバイダなどに連絡し、停止を依頼します。その際、JPCERT/CCのような調整機関に依頼することもありますが、早ければ1時間前後、1日あればほとんどのサイトの停止が可能です。これらの作業は、YCR(Yahoo Customer Relations)という関連会社の専任スタッフが24時間365日対応しています。

 

2010年のフィッシングは減少もしくは横ばいだが

 

協議会:サイトの停止については、フィッシングサイトなのかどうかの判定が難しいと思います。誤検知についてチェック体制はどうなっていますか。

 

戸田氏:基本は、サイト内のヘルプ機能や問い合わせフォームから、そのようなから連絡があれば、個別に対応しています。いまのところ、ツールバーの誤判定に関する専用窓口や専用webページなどは設けていませんが、最終的なサイトの判定は必ずスタッフが目で確認を行っているので、現状では問題になっていない認識です。

 

協議会:さきほど、フィッシングの報告件数は、横ばいまたは減少傾向にあるとのことでした。この点についてヤフーではどのように分析していますか。

 

20110307yahoo02.JPG

 

戸田氏:ヤフーというより、個人の意見になりますが、フィッシングが減っているというのは、ユーザー側もフィッシングサイトという偽サイトによって、IDやパスワードが盗まれる危険があるという認識が広まっていることや、我々のさまざまな防止策の効果も表れていると考えていいのではないでしょうか。具体的にはツールバーやログインシール、ユーザー向けの注意喚起や各種啓発プログラムなどになります。


ただし、フィッシングメールは断続的に確認されていますし、攻撃者の狙いがIDからカード情報など直接金銭に結びつくアプローチにシフトしていることを考えると、安心はできません。いくつかのフィッシングを調査したところ、ボットネットと思われるIPアドレスが検出されたりしています。ボットネットを利用したフィッシングや攻撃が増えなければと危惧しています。

 

「ヤフオク護身術」ではネガティブな情報も提供

 

協議会:ユーザー向けの啓発プログラムについて他の取り組みなどあれば教えていただけますか。

 

稲数氏:Yahoo!オークションを例にお話すると、ユーザー啓発において重要なのは、まず正しい情報を提供することだと思っています。例えば、2008年9月ごろ、他人のIDを悪用したオークションの架空出品が問題化したとき、新聞などにはID情報が漏れたのではないかと書かれました。しかし、その後の調査・分析ではフィッシングによってユーザーのID情報が漏れた可能性が高いと聞いています。また、2万円のiPhoneを10万円で買うというような提案につられて、サイト外取引を行ってしまう。というような行動で詐欺被害に合うなど、ユーザー側のリテラシーが重要となる事例も少なくありません。


Yahoo!オークションでは「ヤフオク護身術」というコンテンツを用意しており、いろいろな注意点を述べています。また、「実録オークショントラブル」というページでは、社内からはやめてくれという声が挙がるくらい、ネガティブな被害事例や情報を掲載し、被害件数の更新も毎週行っています。多少ネガティブであっても正しい情報をユーザーに公開する事は、最終的に安全に結びつくと思っています。サイト内には、他にも安全に利用していただくための啓発コンテンツや、各種セキュリティ特集のコンテンツへの誘導なども展開しています。

 

戸田氏:事後対応ということになりますが、実際に被害に遭ってしまったユーザーに対して、カード会社に停止手続きをとるようにとアドバイスをしたり、警察に被害届をだすような相談にも乗ることがあります。すべてをフォローできるわけではありませんが、管轄外だからというのではないようにしています。

 

稲数氏:啓発プログラム以外の取り組みとしては、冒頭に述べたツールバーのフィッシング警告機能のほか、「ログイン3兄弟」として、ログインシール、ログイン履歴、ログインアラートの3つの機能を提供して、ユーザーに利用してもらうように働きかけています。実験的なものとしてはフィッシング防止ブラウザのα版の公開テストを行ったりしています。

 

協議会:今後の取り組みとして注目していることや課題などはありますか。

 

戸田氏:フィッシングが減少傾向にあるとはいえ、その実態がますますつかみにくくなっています。以前は、フィッシングメール数、届出件数、検出されるURL数などが、それぞれ相関するような形で全体が増加傾向にあったので、簡単に分析できたのですが、現在フィッシング被害が減っているといっても、さきほど述べたように、それが対策の効果なのか、ボットなど新しい攻撃パターンになり検出しきれていないのか、慎重に見極めなければなりません。 ヤフーでもソーシャルゲームを取り込むなど、サービスの進化を続けていますが、その分セキュリティ対策も複雑になります。

 

協議会:最後にフィッシング対策協議会に対してご要望などありますか。

 

戸田氏:現在ヤフーで収集しているフィッシングURLの情報やブラックと判定したURLなどの情報を、広く業界で共有できる仕組みができればと思っています。これは、ヤフー側の体制を準備する必要がありますが、実際に検討を始めています。

 

協議会:貴重なご意見ありがとうございます。フィッシング対策協議会でも協力できることがあれば、対応したいと思います。本日はお忙しいところありがとうございました。