~ フィッシングとは金融機関などを装った電子メールを送り口座番号、パスワード、クレジットカード番号などの個人情報を詐取する行為です ~

HOME > ニュース > インタビュー > 第7回:ISPにとってはDNSポイズニングの脅威も大きい――日本インターネットプロバイダー協会

インタビュー

第7回:ISPにとってはDNSポイズニングの脅威も大きい――日本インターネットプロバイダー協会

2010年06月08日

今回の「フィッシング対策の現場から」は、社団法人 日本インターネットプロバイダー協会(JAIPA)の副会長兼専務理事 立石聡明氏の協力を得ることができた。個人や企業にインターネットへの接続環境を提供するISPにおいては、フィッシングの問題はどのように捉えているのだろうか。業界の動向などを交えてお話いただいた。

 

 

フィッシングの被害はガイドラインを参考に対処

―JAIPAとして、昨今のフィッシングの問題をどのように捉えていますか。

 

立石氏:幸いなことに、ISP事業の中で直接フィッシングの被害が問題になったりすることはあまりありません。とくにこの1年では、目立った被害や協会に寄せられる報告はないかと思います。もちろん、社会全体としてフィッシングの被害が減っているとか、ISPがフィッシングに対してなにも活動していないということではありません。JAIPAの業務の中で、直接フィッシングの問題を扱うことが少ないということです。

 

JAIPAでは、例えばトラフィック制御のための指針や判断ポイント、スパム対策や不正メール中継防止のルールや技術的なアドバイス、フィルタリングやブロッキングに関する対応方法などの「ガイドライン」取り決める作業を行いますが、実際の行動は各プロバイダーが実施しています。フィッシング被害でいえば、ISPが、ユーザーのPCがボットに感染している、あるいはフィッシングサイトを立ち上げられているといったことを認識した場合に、ISPとしてどういう行動をとったらいいのかをガイドラインを参考に、しかるべき機関への届出や報告、相談などを行っています。

 

実際、事業者にユーザーなどから寄せられる、「これはフィッシングサイトではないか」との問い合わせや指摘を受けた、という相談に、フィッシング対策協議会やJPCERT/CCに報告してくださいと回答することもあります(笑)。

 

フィッシングサイトのテイクダウンは難しい

―たしかに、フィッシング対策協議会に連絡や相談をしてくれるプロバイダーも多いですね。間接的な取り組みとしてはどうでしょうか。

 

立石氏:まず、スパム対策に関連した不正メール中継への対策でしょうか。いわゆるOP25Bについては、かなりの事業者さんに理解いただいて、導入が進んでいます。現在は、送信ドメイン認証の普及が現状の課題でしょうか。標的型のスパムメールは、フィッシングサイトの誘導によく利用されますので、スパム対策は間接的にフィッシング対策に結びついているのではないでしょうか。

 

その他特筆すべき取り組みとしては、3月にフィッシング対策協議会と共同発表したAPWGのランディングページプログラムへの参加ですね。すでにクローズさせたフィッシングサイトのURLに対して、その旨を告知するページを表示させることで、ユーザーにその場で自分はフィッシングに騙されていたことを知らせるプログラムです。日本では、「フクロウ先生のフィッシング警告ページ」と呼んでいますよね。

 

―このプログラムについて、不正なサイトのURLだとはいえ、勝手に表示させるページを変更しているということに対して、会員のISPから反論などでませんでしたか。

 

立石氏:フィッシングサイトと確認され、それを閉鎖し、警告ページに誘導するまでに複数の組織や機関が関わっているので、いまのところ「勝手に変更している」というネガティブな反応や意見は確認されていません。ユーザーの理解も得られているとのではないでしょうか。

 

―ISPとしては通信の秘密や表現の自由の問題は、サービスの本質部分に関わる難しい問題ですよね。

 

立石氏:はい。JAIPAとしての基本的なスタンスはガイドラインを作成したり、判断の基準や助けになることは示しますが、実際の行動はプロバイダーや事業者ごとの判断を優先させたいと思っています。また、規制もアドホックに追加していくよりは、既存の法律や運用でなるべく対応できればと思っています。

 

フィッシングサイトのクローズを求めるにも、現状では明確な法的根拠がありません。個別の詐欺被害が、明確に確認されれば警察などが動けますが、本物に似せたサイトが確認されただけでは、だれが被害者なのか実際の被害内容も特定したことにならないので、強制力のある措置がとれないのです。なので、サイトのデザインや内容を著作物として、著作権法で取り締まるか、ロゴや商標の不正利用などの不正競争防止法などを適用するかで対応しています。

 

ISPとしては、ユーザーや他人のサイトを強制的に閉鎖する等の対応をするには、それだけ慎重になっているわけです。

 

有害サイトのブロッキングはバランスが大事

―フィッシングに限定しないで、業界として最近注目しているセキュリティ上の問題や課題などありますか。

 

立石氏:フィッシングとは直接関係ありませんが、有害サイトのブロッキングに関しての問題ですね。児童ポルノなど有害サイトへのアクセスをブロックする方法として、DNSポイズニングの手法が検討されていますが、一部で報道されているとおり、特定のドメインやゾーンごとアクセスをブロックしてしまうので、オーバーブロッキングの問題が排除できません。また、DNSSECとの設定の整合性をとるのが難しくなるなどの問題も指摘されています。DNSポイズニングはサーバ全部を見えなくしてしまうので、適用は慎重にならざるを得ません。適切な範囲でブロックするためのバランスが非常に難しい問題となっています。

 

JAIPAとしても、関係省庁や事業者などと調整しながら、落とし所となるガイドラインや自主規定を作ろうとしています。難しいからと問題を放置して、法的な制限や規制を導入せざるを得なくなるより、自主的なガイドラインで対応していきたいと思っています。

 

―最後はみなさんにもお聞きしている質問なのですが、フィッシング対策協議会に対する要望などはありますか。

 

立石氏:フィッシング対策活動については、サイトクローズや関連組織との連絡・調整などで、フィッシング対策協議会とJAIPAでうまく切り分けが機能していると思います。したがって、新たなリクエストというより、現状の活動を強化する方向でお願いしたいと思っています。とくに海外情報の共有や最新のフィッシングサイトの情報などは、フィッシング対策協議会の役割に期待しています。

 

―本日はお忙しいところありがとうございました。