~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > 第4回:複数のツールを活用した対策を実施――株式会社ジェーシービー

インタビュー

第4回:複数のツールを活用した対策を実施――株式会社ジェーシービー

2009年11月30日

今回の【フィッシング対策の現場から】は、クレジットカード会社 株式会社ジェーシービーの担当者に伺った。対応してくれたのは、市場開発部 次長(IT統括室担当)大串昌博氏だ。

 

 

――最近のフィッシングの動向についてはどうとらえていますか。

 

大串氏:フィッシングなどの詐欺行為を行う側の組織化を感じます。おそらく、偽サイト構築や攻撃のための専用ツールもアンダーグラウンドの市場では存在しており、フィッシングサイトの(悪い意味での)クオリティが向上しています。見た目もそうですが、サイト自体の機能も本物のように高機能なものが増えています。また攻撃手法も、以前は、無作為的にメールを送ってそのうちの数パーセントでも反応があれば、というようなパターンが多かったのですが、最近では、ターゲットを絞ったメール、誘導方法が増えてきています。

 

ただし、企業側も利用者への啓発や告知に力を入れていますので、利用者側の意識も変わってきていると思います。JCBの利用者でも、うちからのメールやそうでないものも含めて、「これはフィッシングではないか?」といった問い合わせが増えてきています。

 

複数のツールを利用したフィッシング対策を実施

 

――被害や問い合わせ、あるいは対策方法について、クレジットカード会社ならではの違いなどはありますか。

 

大串氏:被害については、JCBを騙ったフィッシングサイトが立ち上がったという事例がないので、なんとも言えませんが、対策方法については他の金融機関との大きな違いはないと思います。

 

ECサイトなどでは注文時にクレジットカード番号の入力が必要になりますが、原則としてカード会社や金融機関のホームページやサービスでクレジットカードの番号を入力したりすることはありません。また、信販会社やクレジットカード発行会社から、利用者の名前やカード番号、生年月日、暗証番号を聞くというシチュエーションは通常ないと思ってかまいません。

 

利用者向けの具体的な対策としては、セキュアブレインのPhishWallというブラウザのプラグインの提供を行っています。このプラグインは、ツールバーに表示される信号機のようなアイコンの色で公式サイトかどうかを識別できるようにします。アイコンは、登録されたJCBの公式サイトであれば緑サインになりますし、接続サイトの安全性の評価や正しいサーバ名の表示もしてくれます。PhishWallはJCBのホームページからダウンロードしてインストールします。

 

また、フィッシングサイトが立ち上がったときの被害を最小限に抑える施策として、RSAセキュリティのFraudActionというサービスを2008年から導入しています。FraudActionは、RSAの監視網が発見したフィッシングサイトの報告、クロージングをしてくれるというものです。クロージングは、JCBの監視網で発見されたものでも対応してくれます。

 

――一般的な対策はどうでしょうか。

 

大串氏:利用者への注意喚起やお知らせは、JCBのトップページ、メールマガジンのFooterなどで行っています。これらはフィッシングに特化したものではなく、一般的な振り込め詐欺に関する情報などとあわせての告知になります。JCBの場合、「JCBプラザ」や海外関連会社、駐在員事務所など海外の拠点も多数あるので、通常の業務の中でも各国のフィッシングやセキュリティインシデントに関する話題や情報が収集できます。

 

フィッシングの場合は、通報や問い合わせがないと、巡回だけで発見するのはほぼ不可能なので、さきほど説明したセキュリティベンダーの監視サービスや、フィッシング対策協議会といった官民の監視網、情報源を利用しています。

 

携帯電話に対する取り組みが重要に

 

――フィッシングやセキュリティインシデントについて今後の動向や懸念している事項などはありますか。

 

大串氏:携帯電話に対する取り組みがさらに重要になってくると思います。海外でも携帯電話経由のインターネット利用が拡大しています。スマートフォンの普及もあり、携帯電話のサービスとインターネットサービスの垣根がなくなってきています。そうなると、インターネット側の脅威が携帯電話でも無視できなくなるでしょう。JCBでも携帯電話向けの情報発信は積極的に展開していますが、同時に対策も考えています。

 

――携帯電話向けの具体的なサービスにはどういったものがありますか。

 

大串氏:会員向けの携帯電話サイトによる、ご利用明細やポイント残高の確認、キャンペーン情報などの告知、サポートなどがメインです。いまのところ、携帯電話からの金銭の取引はできないようになっていますが、会員サイトのID情報などを扱っていますので、運営には注意を払っています。たとえば、会員向けに、自分が設定した限度額を超えたら携帯電話にメールで通知するサービス「安心お知らせメール」も提供しています。使い過ぎ対策もありますが、月次の明細ではなく利用時にワーニングメールが届くので、本人の知らないところでの不正利用の発見にもつながります。

 

今後はアジア圏が標的

 

――懸念される脅威などはどうでしょうか。

 

大串氏:個人的な意見ですが、アジア圏内部の企業や利用者をターゲットとした被害が今後増える可能性を危惧しています。正式な統計比較をしたわけではありませんが、これまで2バイトコード圏は、技術的な面と経済的な面で欧米の犯罪組織が直接ターゲットとすることは少なかったと思います。成長するアジア、新興国市場は、攻撃の中継に使われるといった関与ではなく、金融犯罪の標的にされることが多くなるかもしれません。

 

――最後に、フィッシング対策協議会に対して要望などはありますか

 

大串氏:やはり、海外での事例や動向の情報提供は重要なので期待しているところです。また、立ち上げられたフィッシングサイトが海外である場合、連絡窓口や調整をサポートしてもらえるのもいざというとき助かると思います(注)。

フィッシング対策協議会への要望ではないですが、サーバ認証やメール認証などの認証局について、公的な機関が発行するものがあってもよいと思っています。国家権力が介在するのはインターネット文化になじまないかもしれませんが、第三者機関を利用するなど、万人にわかりやすく、中立な立場でそのサイトやメールに対してお墨付きを与えるようなしくみがあればと思うことがあります。

 

――金融機関など特定の領域については、公的な認証機関というのも必要になってくるかもしれませんね。本日はお忙しいところありがとうございました。

 

(注)フィッシング対策協議会では、立ち上げられたフィッシングサイトに関する報告をいただいた場合には、JPCERTコーディネーションセンターにサイト閉鎖の調整を依頼する等の連携を行っています。