フィッシングの連絡を受けた金融機関やISPのセキュリティ担当者は、フィッシングサイトがどこのサーバにあるのか、だれが管理しているのか、どんな素性のものかを調べたいこともあるだろう。そのような場合、whoisを調べたり、フィッシング対策協議会などの機関に通報、協力を仰いだりすることになるが、入力したURLの属性情報についてかなり詳しく調べてくれるaguse.jpというサイトが存在する。今回の「フィッシング対策の現場から」は、aguse.jpを運営するアグスネットにお話しを聞いてみた。インタビューに応じてくれたのは、アグスネット株式会社 代表取締役 山口浩一氏と白石知宏氏だ。
aguse.jpとはどのようなサイトか?
協議会:aguse.jpを使ったことのある人には不要かもしれませんが、アグスネットがフィッシング対策協議会の会員であり、URLの属性調査のサービスを展開していることを知らない人も少なくないと思います。まずは、簡単にaguse.jpのサービスの概要や背景などを教えていただけますか。
山口氏:アグスネットのサービスは実際にaguse.jpをアクセスしていただいて、調べたいURLを入力してみればすぐに分かってもらえると思います。検索エンジンのような入力バーに調べたいURLを入力すると、そのサイトのIPアドレス、どんな画面なのか(スクリーンショット)、METAタグ情報、証明書の有無、マルウェア感染の有無、外部オブジェクトの有無、サーバの設置場所、ドメインを管理している組織や会社の登録情報などを表示します。サーバの位置情報については、Googleマップを利用して地図上の位置として表示させたり、aguseサーバからの経路情報なども調べることができます。
白石氏:もともと私たちはネットワーク屋として、システム構築などのビジネスを展開していますが、4、5年ほど前にスパムメールをトラッキングするサイト作ろうということになりました。単純になにか役にたつサービスを立ち上げようという動機からで、unpackedspam.comというドメインまでとって作ってみたのですが、これがあまり面白くない出来栄えだったので、すぐにやめました(笑)。情報は得られるのですが、ユーザー視点で見て面白くないし、読み手に相当な解析スキルがないと得られた情報を活用するまでが難しかったからです。それで、もっと一般向けに分かりやすい汎用的なサービスにしようということで、aguse.jpの開発につながりました。
協議会:マルウェア感染が分かるとおっしゃいましたが、それはどのように調べているのですか。
山口氏:カスペルスキーさんの協力により、サイトに感染しているマルウェアがないかをチェックしています。ウイルスのパターン定義ファイルなどは、我々のような企業ではメンテナンスは不可能ですから。
このように、aguse.jpの解析結果の表示には、有償・無償を含めてさまざまなデータベースやAPIサービスを活用しています。例えば、公開されているURLのブラックリストとの照合機能も持っており、その結果なども解析ページには表示されます。
ドメインに関する情報をwhoisよりも詳しく
協議会:現在、aguse.jpをよく利用するユーザーはどんな人たちですか。
白石氏:対象のURLを調べるという目的では、一般ユーザー、企業ユーザーともに、区別なく利用してもらっていると思います。企業ユーザーについてもジャンルや業種などに特定の傾向は見られないようです。問い合わせについては、さまざまな企業や組織から受けています。民間企業以外では、警察署や司法書士などからの連絡もよく受けます。昨年のGumblar問題のときには、レコード会社や小売店などコンシューマ向けにサービスやビジネスを展開している企業からの問い合わせが急増しました。
山口氏:問い合わせの中には、うちのサイトが改ざんされているようなのでどうしたらいいか、といった相談のようなものもあります。我々もaguse.jpの解析結果はこれで十分とは思っていません。一般向けを意識していますが、やはり企業の総務部などの人にしてみれば、表示結果のどこが問題なのか、どう読みとればいいのかは分からないと思います。このあたりはもっと改善していきたい点と認識しています。例えば、アニメやグラフィックを使ったり、サーバの位置情報にGoogle Mapsの地図表示だけでなくストリートビューも表示させると、その住所の建物がどんなものかが確認できます。実際、aguse.jpを取引先などの信用調査に利用しているという例も聞きます。設置場所や登録組織の所在地の写真が確認できれば、ペーパーカンパニーの検出が可能になるかもしれません。
未知のサイトを調べることはフィッシング対策の基本
協議会:aguse.jpをフィッシング対策に活用するとしたら、どのような使い方が考えられますか。
山口氏:まず、エンドユーザーレベルならば、スパムメールやフィッシングメールのURLにアクセスする前に、aguse.jpでURLをチェックすることで、そのサイトの素性がどういうものか、万人向きではありませんがある程度判断できます。ISPや企業などはフィッシングサイトではないかとの通報や情報が得られたら、aguse.jpで調査してもいいでしょう。aguse.jpにはGateway機能というものがあって、そのURLにアクセスするとどのような画面が表示され、どんなことが起きるのかを安全に調べることができます。ブラウザ用のアドオンやブログパーツとしてのaguse.jpも用意しているので、ぜひ、活用していただきたいと思っています。
白石氏:アドオン、プラグインの話がでましたが、メーラーからの解析にも力を入れたいと思っています。現在メールヘッダを解析する機能はサポートされていますが、本文や本文のリンクを解析する機能を開発中です。その他、正規サイトに注入された外部オブジェクトのURLを各種のブラックリストと照合したり、フィッシングサイトとして認識されたサイトを「フリーズ」させて捕獲するような機能も面白いと思っています。ヒットアンドアウェーですぐにクローズしてしまうようなフィッシングサイトを画面キャプチャだけでなく、HTMLやスクリプトも含めてすべてを保存する機能は、フィッシングサイトの解析に役立つと思います。
協議会:モバイル端末への対応は考えていますか。
山口氏:はい。スマートフォンはPCやブラウザと同じアプローチがとりやすいので、比較的簡単に移行できるかと思っています。携帯電話については、サイトのURLが表示されない、短縮URL、パラメータに含まれる端末IDやUIDの問題などセキュリティ上の懸念が多々あるので、対応したいと思っていますが、簡単にはできない現実もあります。やはりネットワークが異なるので(携帯電話網)、その中のサイトを解析するためには、キャリアの協力が不可欠なのです。しかし、キャリア各社は独自にフィルタリングを設定し、公式サイトという仕組みがあるので、サードパーティが勝手にサイトを調べるようなトラフィックをなかなか許可してくれません。
フィルタリングの精度の問題、勝手サイトやGoogleの広告トラフィックの流出入があるわけですから、現状がまったく安全ということではないはずなので、携帯キャリアの各社にはぜひ考えてもらいたい問題だと思っています。
協議会:フィッシング対策の部分で、フィッシングサイトの情報共有や検査方法の可能性として、興味深いお話をありがとうございます。フィッシング対策協議会でも協力、協調できる部分がありそうなので、貴重なご意見として今後の活動に反映させたいと思いました。本日は、お忙しいところありがとうございました。
【aguse】
aguseは、調査したいサイトのURLや受信したメールのメールヘッダーを入力することにより、関連する情報を表示するサービスです。