フィッシングというと、個人のIDやパスワード、クレジットカード番号などを窃取するものが一般的だが、最近ではインターネットを利用するB2Bマーケットの企業も狙われるようになってきたようだ。
B2Bマーケットは、企業が資材や部品などの調達にインターネット上の業者向けの取引サイトを利用し、とくにグローバルな取引が中規模な企業でも比較的簡単にできるということで拡大している市場だ。
今回の「フィッシング対策の現場から」は、株式会社カービューの執行役員 技術部長 佐藤克洋氏、同 海外事業部 マネージャー 西尾里美氏に、B2Bマーケットでのフィッシングの現状についてお話を伺った。

カービューでは加盟店のIDやパスワードが狙われている

―一般の消費者にとって「カービュー」というサイトは、自動車関連の情報サイトという見え方をしていると思います。そこで銀行口座やクレジットカード番号などを入力することはなさそうなのですが、カービューのビジネスは、どのような部分でフィッシングにかかわってくるのか、背景から説明していただけますか。

西尾：はい。カービューのおもな事業は3つあります。ひとつは「carview.co.jp」というドメイン名で展開している自動車に関係するニュースや新車の試乗レポートなどを閲覧できる情報サイトです。

もうひとつは「みんカラ」と呼んでいますが、「みんなのカーライフ」という名前のSNSサービスを展開しているサイトです。最後は、「tradecarview.com」のドメインで運営している中古車輸出取引のための事業者向けのトレーディングサイトです。

この「tradecarview」は、加盟店（メンバー企業）が売りたい中古車の情報をサイトに登録し、それをバイヤーが閲覧し、取引を行うというB2Bサイトです。
現在、売り手、つまり加盟店登録しているメンバーは1,000社以上あります。
おもに海外のバイヤーに向けてのサイトなので、英語を基本に5つの言語で閲覧可能なサイトとなっています。
フィッシングの被害は、このメンバーズIDを不正に窃取するために発生しているようです。

―具体的にはどのような方法がとられているのでしょうか。IDの窃取方法やそれがどのように悪用されているのか。について教えてください。

西尾：おそらく攻撃者は、弊社がメンバーに送付している「お知らせメール」を装って、メンバーをフィッシングサイトに誘導し、IDやパスワードを盗んでいるものと思われます。この部分は金融機関のフィッシングサイトが、個人の口座番号やID情報を盗むのと同じ手法で、典型的な標的型メール攻撃によるフィッシングサイトへの誘導といっていいでしょう。

誘導メールを送付されているメンバーは、網羅的ではなく一部のメンバーのみなので、メーリングリストの情報や加盟店の情報をベースにしていることはないと見ています。そして、攻撃者は、フィッシングによって不正に入手したメンバーズIDを使って、偽の中古車情報を登録します。その情報を閲覧して、連絡、問い合わせをしてきたバイヤーと取引をすると見せかけて、車の代金を振り込ませるといった詐欺を行うというのが典型的な事例となります。

tradecarviewのサイトは英語が基本なので、お知らせメールなども全部英語になります。通常、フィッシングメールは英文のものが多く、海外よりフィッシングの被害が多くないのは、日本のユーザーの場合、英文メールは、内容がわからない、スパムなどの理由で開かれることさえ少ないからなのですが、加盟店のみなさんは海外の事業者、バイヤーと取引するため、英文メールというだけでごみ箱に振り分けるわけにはいかず、被害にあっている方もいます。

フィッシングサイト確認後はログインシール導入や取引代行サービスなどで対応

―そのような被害はいつごろから発生し始めたのですか。

佐藤：中古車の取引そのものは以前から展開していましたが、tradecarviewとしてポータル化したのは2004年2月からです。さきほど西尾が述べたようなフィッシングが確認されはじめたのは2009年9月頃からで、頻発するようになったのは2009年12月からです。

12月にフィッシングが頻繁に起こった理由として考えられるのは、セキュリティ対策と加盟店メンバーからの要望も兼ねて、バイヤーにも事前のユーザー登録を必要とするようにサイトのシステムを変更したからです。
加盟店は当然事前の登録や認証作業が必要で、加盟店はメンバーズIDとパスワードによってサイトにアクセスして、中古車の在庫情報を登録しています。 しかし、バイヤーについては、なるべく多くの人に利用してもらうため、事前登録をしなくても加盟店にむけて、この車を買いたいというオファーを送ることができ、サイトのメッセージ機能を利用したり、加盟店との直接のメールのやりとりによって、実際の取引交渉が可能でした。

しかし、利用者が増えてくると、バイヤーを装った取り込み詐欺のような被害や、加盟店やバイヤーのメールアドレスが簡単に取得できてしまうシステムを問題視する声があがりました。その結果、2009年の6月に、オファーするバイヤーにもユーザー登録が必要になることをアナウンスし、12月からこれを実施したわけです。

攻撃者は、いままで加盟店のメールアドレスが簡単に入手でき、バイヤーに対しても直接メールを送信してtradecarviewのデザインをまねた偽造サイトに直接誘導できたものが、tradecarviewのメッセージシステムへのログインが必須となることによって、ID・パスワードを取得するためのフィッシングサイトを立てる必要がでてきたのです。

―サイト利用者にこのようなフィッシングを回避するために行っていることを教えてください。

佐藤：サイト上では、メンバー向けだけでなく、アクセスしてくるバイヤーに向けてもフィッシングについての注意事項を掲載したり、案内メールなどでも常に注意喚起や啓発活動を展開しています。
内容は、ログイン情報を入力するサイトのURLやページの作り方への注意、不審なメールへの注意など、一般的なフィッシング対策に関する注意事項となりますが、バイヤーに向けては、とくに格安の高級車の情報などは注意するように呼びかけています。
さらに、弊社で把握しているフィッシングメールの送信元アドレスやURLのリストをサイト上で公開しています。

技術的な対策は、フィッシングサイトが確認された直後、すぐにログインシール機能を導入しています。週末や年末にフィッシングメールが増えるという報告もあったので、年末の対策として急きょ間に合わせました。

また、2010年5月からはPayTradeという決済オプションを導入して、バイヤーが直接セラーに代金を送金したりせず、カービューに振り込むことができるようにしました。

セラーは代金回収をカービューに任せることができ、カービューが間に入ることで自社が正規の加盟店であることをバイヤーにアピールできます。また、バイヤーも個別の加盟店に別々に支払うのではなく、安心して一括処理ができます。

フィッシング情報の公開や共有が重要

―最後に、フィッシング対策協議会の要望などはありますか。

西尾：協議会や業界で共有できるフィッシングサイトのURLなどのデータベースを強化できればと思っています。
さきほど、弊社で把握しているURLのリストがあると述べました。PhishTankのようなオープンなデータベースもありますが、日本独自のものをCGM（※）のように収集するしくみがあってもよいと思います。

佐藤：フィッシング対策協議会が発しているフィッシングサイトの注意喚起や情報が、ニュースサイトなどに取り上げられることがありますが、情報を広く認知してもらうという意味でよいことだと思っています。
これからも情報提供やフィッシングサイトの閉鎖措置など協力していただければと思っています。

―貴重なご意見ありがとうございます。フィッシングサイトのURL情報、協議会でもISPやセキュリティベンダーに提供する体制など整えつつありますが、まだ規模は十分ではないと思っています。

また、フィッシングサイトを立てられたという情報は、本来、その企業に瑕疵があったわけではなく、そのことを広く利用者に知らせることは被害拡大防止の効果が期待できるのですが、情報公開や告知に積極的でない企業も少なくありません。今回は、その意味で、貴重なご意見とお話をありがとうございました。

※CGM：Consumer Generated Mediaの略。ウェブサイトのコミュニケーション機能を利用して、広く一般の人から情報を集め、それを活用すること。

例えば、あるユーザーがわからない言葉の意味や疑問を投稿して、それに対する回答を別のユーザーが投稿することで、百科事典のような情報サイトを実現したり、商品の評価や店舗の口コミ情報を不特定多数のユーザーが書き込むことで、閲覧者、情報提供者双方にとって有益なサイトを構築する。そのサイトの情報が実用的で便利であれば、利用者も集まりひとつのメディアとしても成立することになる。