~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

報告

HOME > ニュース > インタビュー > 第1回:今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏

インタビュー

第1回:今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏

2009年07月27日

複雑化、巧妙化するフィッシングサイト。企業やプロバイダは日ごろどのような対策を講じているのだろうか。その取り組みや現状について、企業のセキュリティ担当者、専門家へのインタビューで綴るコーナー。第1回は、国内SNSの最大手、mixiを運営する株式会社ミクシィ コーポレートデザイン室 情報セキュリティグループ マネージャ (CISSP) 軍司祐介氏に聞いた。

 

――インタビューのご協力ありがとうございます。まず、SNS(ソーシャルネットワークサービス)としてどのようなフィッシング被害があるのですか、現在の状況など教えていただけますか。

 

軍司氏:mixi運営事務局からのメールを装い、個人情報を入力させるフィッシングサイトの被害があります。また、業者がなんらかの方法でアカウントを取得し、「あしあと」機能やメッセージ機能、日記へのコメントなどを使って、自社サイトにユーザーを誘導するという被害もあります。このような業者は、複数のアカウント(「複アカ」などと呼ばれ規約違反)を利用し、誘導するサイトもアダルトコンテンツや違法サイト、個人情報を不正取得するサイトであることが多いです。最近では、一般ユーザーのアカウント情報を入手して、その人になりすまして迷惑メッセージを送りつけたり、不正サイトへ誘導するといったことも確認されています。

 

SNSということで、口座番号やクレジットカード番号を不正入手する、金融機関のフィッシングサイトと違った形の被害が起きているようです。ユーザー同士がマイミクであるという親和性の高さが、逆に不正サイトへの誘導を助長しやすくなるというのがSNSでのフィッシングサイトをはじめとした悪意ある行為の特徴といえます。また後述しますが、携帯電話をターゲットにしたフィッシングも非常に増えてきています。

 

SNSならではの苦労

 

――このような問題への対処方法ですが、なにか特殊なものやSNSならではの注意点はありますか。

 

軍司氏:特殊なものかどうは別として、迷惑メッセージにしろ、業者アカウントにしろ、外形的には通常ユーザーへのサービスを利用していることになるので、その検出は非常に難しいといえます。

 

しかしながら、mixiは24時間365日体制で目視を含めた監視体制をとっています。システム的には、リスト方式、データマイニングの手法を応用したフィルタリングと監視も行っています。問題のある書き込みや規約違反などが発見されたら、アカウント停止を含む必要な措置をとっています。この場合でも、そのユーザーもアカウントをジャックされた被害者であったりするので、状況を理解してもらえないなど、難しい対応を迫られることもあります。また、EMA(モバイルコンテンツ審査・監視運用機構)の認定も受けております。

 

フィッシングサイトについては、インターネットを完全に監視することはできないので、どうしてもユーザーなどからの通報が重要になります。監視や通報によってフィッシングサイトを発見したら、「お知らせ」などによるユーザーに対する情報提供や注意喚起をできるだけ速やかに行っています。フィッシングサイトの閉鎖といった実際の処理は、JPCERT/CCなどしかるべき機関に委ねることになります。

 

結局、特殊なことはしていないかもしれませんが、セキュリティで重要なのは、基本となる活動の地道な積み重ねということになりますね。

 

mixi社内での取り組み

 

――ユーザー向けの対策ではなく、社員に向けての対策や教育などはどうでしょうか。

 

軍司氏:mixiのサービスの場合、扱っている情報が個人に関する情報 ですので、業務システムのセキュリティは最重要課題のひとつです。プライバシーマークの認定を受けている他、システム的にはアクセス制御の徹底などを行っています。社外への持ち出しが想定されるPCはすべて暗号化され、USBトークンがないと使えないものになっています。教育についても年に数回、全社規模のセキュリティ研修を行っています。
先日行われたある部署のセキュリティ研修では、そのとき問題になっていた金融機関内部からの顧客名簿流出を一つの題材にするなど、研修内容が形骸化しないよう工夫しています。

 

サーバーや企業システムのリソースへの攻撃についても、OSやアプリケーションのパッチをきちんとあてるとか、情報収集を怠らないとか、システム的な対策を十分にとっていますが、WebサービスがメインということでクロスサイトスクリプティングなどのWebの脆弱性についてはとくに注意しています。

 

――最近のフィッシング被害やその対策などで、以前との違いや変化などは感じますか。

 

軍司氏:セキュリティと利便性の兼ね合いで、IDとパスワードによる認証が現在のところ最も成功しているとは思いますが、フィッシングはIDとパスワードで管理している限りなくならないでしょう。いろいろなところで多数のID、パスワードを管理しなければならないため、ユーザーにも事業者にも問題が発生してきています。たとえばパスワード忘れを防止するために、結局どこでも共通のIDやパスワードを使うなどの脆弱性が発生したりしています。ユーザーが入力したパスワードが暗号化され安全に管理されている保証はどこにもありません。

 

あくまで個人的な意見ですが、固定されたパスワードを事前に登録し、それを認証に利用するという仕様自体に限界が来たのではと感じています。たとえば行政など信頼の置ける機関が(オンラインによる)ワンタイムパスワードの仕組みを提供するなど、二要素認証の思想そのものを抜本的に変えていかなければならないのでは、と考えています。

 

携帯キャリアや端末メーカーとの連携に期待

 

また、mixiへのアクセスはPCから携帯電話にシフトしています。アクセス数でいけば、携帯電話からのアクセスはPCのそれの2.5倍くらいになります。すでにmixiの携帯電話サイトをターゲットにしたフィッシングも確認されています。一般的に携帯電話は、画面が小さい、ページのデザインなどがPCよりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。

 

画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。

 

この問題への対策は、携帯電話の通信事業者や端末メーカーとの連携が重要になってくると思います。その意味では、フィッシング対策協議会のような組織が、携帯電話事業者も巻き込んでそのような議論を交わしたり、携帯電話サイトのセキュリティも意識したHTMLの仕様策定などがあってもよいのではないかと考えています。

 

――貴重なご意見をありがとうございます。今後の活動の参考になります。本日はありがとうございました。