~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > 第5回:海外でも多様化するフィッシング被害――RSAセキュリティ

インタビュー

第5回:海外でも多様化するフィッシング被害――RSAセキュリティ

2010年02月10日

RSA The Security Division of EMC(RSAセキュリティ)は、RSA暗号を開発したRSA Data Securityが前身となる老舗セキュリティベンダーである。同社のワンタイムパスワードのトークンを採用している金融機関や企業も多いことだろう。今回の「フィッシング対策の現場から」は、同社の顧客との契約に基基づきフィッシングその他の脅威を監視し、フィッシングサイトを確認した場合にはその停止コーディネーションを行うサービス のプロジェクトマネージャー、Alon Rozenberg氏、RSAセキュリティ株式会社 マーケティング統括本部 本部長 宮園充氏に米国を含むフィッシング動向や日米の違いなどを聞いてみた。

 

 

フィッシング攻撃の対象が金融分野だけでなく他分野も対象に

―さっそくですが、RSAセキュリティが見るフィッシングのグローバルな状況についてお話いただけますか。

 

Rozenberg:弊社の統計でも、2008年と2009年のフィッシング被害に関する件数は前年比16%増となっており、被害は確実に増えています。また、ご存知かもしれませんが、その攻撃手法や対象が、異なった分野に広がっています。垂直攻撃(Vertical Attack)と呼んでいますが、金融機関だけでなく、SNS、モバイル、あるいは政府機関といったさまざまな領域がフィッシングの攻撃対象になってきています。

 

攻撃対象という意味で、ワールドワイドでの近年の特徴は、中国企業や組織を狙ったものが増えてきたことでしょう。中国というと、一部ではマルウェアの配信元として取り上げられることがありますが、中国自身も攻撃者の標的とされています。中国では経済、ITともに急速に発展していますが、セキュリティ対策やオンラインの信頼性の強化が相対的に遅れている面があります。つまり、犯罪市場としての価値が高まっていながら、防御がそれほど強固でないということで、新たなオンライン犯罪市場として注目されているわけです。実際、弊社への被害報告やインシデントの対応件数が増えています。

 

サービスプロバイダとの関係は個人的つながりとコミュニティが重要

―RSAセキュリティでは、自社でネットワークの監視網を持ち、契約金融機関などのフィッシングサイトの閉鎖を行うRSA FraudAction*1を提供していますね。民間企業での活動ということになりますが、プロバイダやホスティング業者の対応や理解は得られていますか。

 

Rozenberg:EU諸国や米国では、フィッシングサイトについてサービスプロバイダの認識や理解は比較的進んでいると思います。私自身も、ここ5年ほどISPなどとの交渉や調整に関わっていますが、金融機関、ISPと、我々のようなセキュリティベンダーのパートナーシップは良好と考えています。ただし、このような関係には、個人的なつながりやコミュニティも重要です。いきなり知らない企業の担当者が「うちの監視網であなたのサーバーにフィッシングサイトを発見したから閉じてくれ。」というより、顔を知っている人から説明されるほうが理解は早いです。

コミュニティについては、APWG(Anti Phishing Working Group)などとの共同プログラムなども行っています。たとえば、「Landing Page」(※2)と呼ばれる、クロージングしたフィッシングサイトに代わって表示されるページを、ISP、セキュリティベンダー、CSIRT組織、APWGなどが連携して展開しています。他には、Feed Detectionという、さまざまなフィッシング情報を共有できる仕組みにも協力しています。

 

―フィッシング対策について、ISP、企業などの取り組みの日米の違いなどありますか。

 

宮園:あまりないと思います。日本でもフィッシングやオンライン詐欺についての一定の認識や理解は進んでいます。実際にフィッシングサイトが立ち上がっているサーバーは、海外であることも多いので、国の違いというものはあまり意識していません。

しかし、Alonが述べたようにコミュニティの存在は欠かせません。セキュリティについての基本的な考え方やフィッシングに対する啓発活動は、さまざまな機関や組織と協力して展開したほうが効果が高く、一企業だけの活動には限界があります。

 

フィッシングやオンライン犯罪が変化。攻撃者はリアルタイムに情報を盗む

―フィッシングやオンライン犯罪について、最近、そして今後の動向などはどのように分析されていますか。

 

Rozenberg:3つあると思います。ひとつは、リアルタイム性です。これまで、トロイの木馬やメールによって誘導される偽造サイトは、盗み出した情報を収集サーバーなどに一度集約させてから利用することが多かったのですが、最近では、盗み出した情報をその場で利用する手法が増えてきています。たとえば「Chat in the Middle」という攻撃手法が確認されています。「Man in the Middle」は、通信経路上などで細工を行い、ユーザーのログイン処理などの操作を横取りし、IDやパスワードを入手したり、不正なサイトに誘導したりしますが、「Chat in the Middle」では、チャットの画面を利用して、リアルタイムに情報を抜き出します。ユーザーはフィッシングサイトでID/パスワードを詐取されるだけでなく、続くチャットの画面で氏名や生年月日などのよりセンシティブな情報を奪われる可能性があります。このチャット画面ではチャットプロトコルの一つJabberの技術が利用されています。TwitterやFacebookを利用した誘導もリアルタイムの攻撃に分類できます。

 

次に、ターゲットの変化が挙げられます。フィッシングは金融機関のサイトを偽装したものから、確実に非金融機関へと広がっています。冒頭に述べた政府機関、健康や医療に関わるサービス、ゲームサイト、さらには一般企業も注意が必要です。クラウドやオープンなグループウェアの利用が進むと、一般企業を狙ったフィッシングサイトやオンライン詐欺が増えると思います。このときの攻撃者の狙いは、企業の知的財産情報だったり、銀行口座の情報だったりします。中小企業の口座番号なども、個人の口座番号と同じように狙われていると考えたほうがよいでしょう。

 

3つ目は、New Type Fraudと呼んでいますが、既存のIDやアカウント情報を盗むのではなく、盗んだ個人情報や架空の情報などから、新規に銀行口座を開設したりクレジットカードを作ったりしてしまうタイプの犯罪です。これは、オーナーが実在しないので不正利用の検出には新たな手法が必要となってきています。

 

―最後にフィッシング対策協議会に対してご意見やご要望などありますか。

 

宮園:さきほど申し上げたように、企業、エンドユーザーへの啓発活動への期待を持っているということと、情報共有や調整活動での協力体制を続けたいと思っています。また、金融犯罪は海外との連携も必須になってきているので、APWGや国内外のCSIRT組織との情報共有や協調もさらに広げていければと思っています。

以前よりは、フィッシングに対する企業やプロバイダの理解は進んでいますが、国によってはまだ理解が十分でないところ、結果的に非協力的なところも存在しています。このようなときは、公的な機関や調整機構の存在は重要だと思っています。

 

―本日はお忙しいところありがとうございました。

 

 

※1:RSA FraudAction
フィッシングサイトを短時間でシャットダウンする「RSA FraudActionフィッシングサイト閉鎖サービス」、トロイの木馬対策の「RSA FraudActionトロイの木馬対策サービス」があり、いずれもインターネット詐欺被害拡大を防止する24時間365日体制のサービス。 数十か国の言語を駆使し、各国の法律・規制にも精通したエンジニアが、世界中でホストされるフィッシングサイトを迅速にシャットダウンする。2010年1月現在26万サイト閉鎖した実績とワールドワイド320社以上、国内でも33社で採用されている。

 

※2:Landing page
米国APWGが、各国のISP、ホスティング事業者、セキュリティベンダーなど取り組んでいるプログラムのひとつ。金融機関などのフィッシングサイトを確認し、それを閉鎖するなどの措置を行ったあと、そのURLに「ここはフィッシングサイトであり、当局により閉鎖されました。フィッシングメールには注意してください。」といった主旨の着地ページ(Landing page)を表示させる活動が広がっている。当該フィッシングサイトが閉鎖されても、誘導メールなどでそこをアクセスしてしまうユーザーには、情報提供と、このようなメールのURLは危険だということを認識させる教育プログラムとしても機能する。