9月16日に開催されたフィッシング対策協議会の情報共有勉強会に、米国APWG(Anti Phishing Working Group)副事務総長 Foy Shiver氏が参加してくれた。協議会の事務局は、この機会を利用してShiver氏にインタビューをお願いすることにした。インタビューに応じてくれたShiver氏は、米国のフィッシング動向や新しい脅威への対応状況、組織としてのAPWGのメンバー構成や活動ポリシーなどについて語ってくれたので、今回はその内容をお届けしたい。
APWGのメンバーは3300人、主な活動は3つ
協議会:本日はインタビューにお時間いただきありがとうございます。まず、APWG(Anti Phishing Working Group)の組織について簡単に紹介していただけますか。
Shiver氏:APWGは、2003年に非営利団体として設立されました。フィッシング問題への対策と関連情報の共有を目的に、現在では1800の組織や企業から3300人のメンバーによって構成され、活動を行っています。そのメンバーは、警察関係者、政府機関、大学の研究者、ECサイトセキュリティベンダー、その他インターネットや情報犯罪対策について助言を与えたり影響を及ぼすような組織や機関など多岐にわたります。
我々の主な活動は3つあります。ひとつは、世界中のログデータを収集して、統計的な情報を提供すること。統計情報は、フィッシングサイトのブロックリスト作りに活用されたりしています。2つ目は政策や法律などを検討する層に向けたアドバイスです。米国国土安全保障省、ICANN、EUなどに、フィッシング対策の考え方や予防措置などを助言しています。3つめは教育です。これには、JPCERT/CCとも協力して展開している「Landing Page※1」(フクロウ先生のフィッシング警告ページ)やFAQページが含まれます。FAQからは、自社サイトがハッキングされた場合の届け出機関や対処方法などの情報が得られます。
これらの活動を行っていますが、APWGは5、6人のスタッフで運営されている非常に小さな組織です。したがって、各メンバーどうしの協力が非常に重要です。
協議会:米国の最近のフィッシング動向について教えてください。
Shiver氏:フィッシングの本質的な目的はお金であることには変わりありませんが、最近の傾向として、Fast-Flux(※2)の手法が減っていることが挙げられます。この手法によるフィッシングサイトは、DNSラウンドロビンを悪用して、動的に切り替わるAレコードを隠れ蓑にします。そのため追跡が困難なフィッシングサイトとなりますが、なぜこの手法が減ったのか詳しい理由は不明です。同様に、偽のアンチウイルスソフトのサイトも減っています。2010年第1四半期と比較して20~30%も下がっています。これらの統計的なレポートについては現在新しいものを作成中で、もうしばらくしたら公開できる予定です。
協議会:日本ではクラウドコンピューティングやそのセキュリティ対策が注目されています。米国でクラウドに関するセキュリティ対策はどのように考えられていますか。
Shiver氏:クラウドの技術や市場は、まだ立ち上がったばかりです。実際のところ、我々も現状のインターネットやウェブに関する脅威と戦っている最中です。ある人の言葉によれば、新しい技術がこなれて安全になるまで、どんな技術だとしても30年は必要だそうです。根拠はともかく、自動車だって発明されて100年以上経ちますが、まだ安全とはいえないでしょう。インターネットが普及を始めて15年しかたっていません。クラウドに関しては、新しい保護方法など考えなければならないと思いますが、まだこれからというところです。
協議会:米国で実際にクラウドサービスを利用した攻撃やクラウドコンピューティングに対する攻撃などは発生しているのでしょうか。
Shiver氏:私の知る範囲では、そのように特定できる事例は認識していません。
モバイル端末などの対策は新たにグループを組織して議論を開始
協議会:スマートフォンやモバイル端末についてはどうでしょうか。日本では、携帯電話やスマートフォンのブラウザによっては、URLが表示されない、確認しにくいという問題があり、フィッシングサイトの識別が困難になると指摘されています。
Shiver氏:ひとつの対策は、我々がメンテナンスしているようなフィッシングサイトのブロックリストを使った保護が考えられます。そのほか、いろいろなベンダーがアンチウイルスソフトやフィッシング対策ソフトなど開発を行っていますが、確立された対策ソリューションはまだありません。しかし、スマートフォンや新しいタイプのデバイスの対策は、米国でも問題視されています。APWGでもこの6月から新しいFocus Group(FG)を立ち上げ、技術的な課題や対策について議論、研究を始めています。10月にダラスで開催されるAPWGの会合でも、議題のひとつとして取り上げられるでしょう。
フィッシングの被害にあう業種・サービスですが、銀行などの金融機関とPayPalのようなオンライン送金を行うサイトの2つで全体の80%を占めています。ほとんどのフィッシングサイトはこの2つうちどちらかに分類されるということですが、その他のカテゴリとして、最近、Online Classified(クレイグスリストなどに代表される個人売買や情報交換を行うウェブサイト)、SNS、オンラインゲームのフィッシングサイトが急激に増えています。2010年の第1四半期だけでもこの比率が18%を超えています。このようなサイトのフィッシングが増加していることに注目しています。
ちなみに、上位2つの金融機関とオンライン送金サイトの順位ですが、以前は銀行など金融機関のフィッシングのほうが多かったのですが、現在の1位は、オンライン送金サイトになっています。
APWGでは、メンバー同士の情報共有や協力が不可欠
協議会:最後の質問ですが、APWGは3300人ものメンバーが参加しているとのことですが、組織として非常に成功していると思います。その秘訣はなんでしょうか。
Shiver氏:APWGのメンバーは、冒頭に述べたように、企業のエンジニア、大学の研究者、公的機関のセキュリティ担当者、企業や組織のリエゾン(橋渡し)およびサイトのテイクダウンなどを担当するオペレータ、警察など多岐にわたりますが、基本的に全員、ニュートラルな活動を意識しています。特定の企業や組織の立場を代弁するというより、純粋に、インターネットの安全を守りたい、家族や友人を犯罪被害から守りたいという目的を共有しています。そのため、企業メンバーでも競争相手どうしでも適切な情報共有がなされています。先に述べたように、APWGの事務局には5人か6人程度の人間しかいません。組織としては非常に小さいものですが、その分、メンバーどうしの連携、情報提供によって成り立っている部分が大きい組織です。メンバー間のつながりや信頼関係がとても重要なのです。
このような、高度な専門知識を持ち、周辺にも影響力を持つような人たちを「Brain Trust」と呼んでいますが、企業や組織において、優秀な人材、コアとなるような人たちがうまくAPWGメンバーとして集まったからだと思います。いわば正しい人(right person:適正のある人)の集まりであるということといえるかもしれません。そのため誰でもメンバーになれるというわけではありませんが、結果的に数千人規模の組織にできたのではないでしょうか。
協議会:なるほど。貴重な意見をありがとうございます。また、本日はお忙しいところお時間をいただき感謝します。
【APWG】(Anti-Phishing Working Group)
APWGは増え続けるフィッシング詐欺、なりすましメール、クライムウェアによる窃盗や詐欺を撲滅しようとする団体であり、提携機関およびメンバーには法執行機関、政府関連機関も含まれます。
※1 Landing Page (フクロウ先生のフィッシング警告ページ) Redirect Pageともいう。フィッシングサイトに誘導するメールを受信した人が、内容にだまされてメール内のリンクをクリックした場合、そのサイトがすでに閉鎖されていると、通常は404 Not Foundなどのエラーとなる。ここに、エラーメッセージではなく、「あなたはフィッシングメールに誘導されて、偽造されたフィッシングサイトにアクセスしようとしています。サイトはすでに閉鎖されていますが、メールで誘導するサイトには注意してください。」という趣旨の警告ページを表示する。そうすることで、ユーザーに騙されたこと、危険な操作をしていたことを気付かせることができる。
APWGやフィッシング対策協議会では、プロバイダの協力を得ながら、自分たちが閉鎖したフィッシングサイトのURLや、攻撃者が引き払った後のURLを警告ページにリダイレクトすることで、フィッシング対策に関する教育・啓発を行っている。
【フクロウ先生のフィッシング警告ページについて】(フィッシング対策協議会)
http://www.antiphishing.jp/landingpage.html
※2 Fast-Flux フィッシングの手法の1つ。サーバーの負荷分散の技術として「DNSランドロビン」という機能がある。これは、ひとつのURLに対して、複数のAレコードを登録し、1台のサーバーに負荷が集中するのを避けるものだが、この機能を悪用し、正規のURLと見せかけたフィッシングサイトに誘導する手法がFast-Fluxだ。フィッシングサイトのサーバーは動的に割り当てられるため、追跡が困難とされている。