RSAセキュリティは7月24日、オンライン犯罪の動向と対策に関する記者説明会を開催した。同社によると、6月のトレンドとしては、「フィッシング攻撃数は前月に比べて10%増加したこと」、「リシッピング攻撃の横行していること」があるという。ここでは、フィッシング攻撃の現状をまとめるとともにリシッピング攻撃について明らかにしたい。
犯罪組織が採用したボットネットを用いたフィッシングが主流
マーケティング統括本部本部長を務める宮園充氏によると、同社の研究機関がまとめた調査において、6月に行われたフィッシング攻撃の件数は1万3,021と、5月の1万1,887に比べて10%増加したという。
フィッシング攻撃を受けている国、ホスティングを行っている国のいずれのトップも米国だった。攻撃を受けている国の2位は英国、3位はオーストラリア。世界中の銀行が攻撃対象となっているという。フィッシング攻撃のホスティング国の2位は、犯罪組織「Rock Phish」の影響でイタリアとなった。
またフィッシング攻撃の手法は、Rock Phishが採用した「fast-flux型ボットネット」が主流となっている。fast-fluxとは、ユーザーがアクセスするためにサーバのIPアドレスを変更し、短期間で接続先を切り替えていく手法である。
国内のフィッシングの事例としては、金融機関だけでなく、オークションサイトを擁するYahoo! Japanが圧倒的に多いという。
犯罪用のインフラがサービスとして提供
オンライン犯罪のトレンドとしては、「リシッピング詐欺」が紹介された。リシッピング詐欺とは、不正に取得したクレジットカード情報を現金化する手口である。リシッピング詐欺は「カーディング実行者」、「ドロップ」、「スキャマー」という3つの役割を担う犯罪者によって行われる。リシッピング詐欺の手順は以下のとおりだ。
カーディング実行者が、不正に入手した他人のクレジットカード情報で高価な商品を購入し、ドロップ宛てに納品させる
不正に関係なさそうなドロップが購入した商品を受け取り、スキャマーに転送する
スキャマーが商品を転売して現金化して儲けをカーディング実行者と配分する
同氏は「リシッピング詐欺のポイントはドロップ」と指摘する。「送られた商品を指示された宛先に転するドロップは、犯罪に加担していることを知らないケースが多い。また、商品を持ち逃げしたり、恐喝行為を行ったりしない"良いドロップ"を確保する必要がある」
犯罪集団は求人のWebサイトなどを開設するなど、大がかりな仕掛けを用意して、ドロップを獲得しているという。
同社はフィッシング対策サービスとして、「RSA FraudAction」を提供している。同サービスにおいてフィッシングサイトをシャットダウンする手順は次のとおりだ。
顧客から報告を受けた疑わしいURLが不正と判断された場合、報告を受けたフィッシングサイトをホストしているISPにシャットダウンを要請し、協力してシャットダウンを実施する。
同氏によると、これまで報告を受けたフィッシングサイトの60%は5時間以内、80%は10時間以内ににシャットダウンできているという。ただし、ISPによってはシャットダウンに協力してくれないこともあり、そうした場合はブロッキングパートナーに不正なURLの情報を転送し、そのURLがアクセスを受けるリスクをできるかぎり抑えている。
今後のフィッシングの傾向として、国内のショッピングサイトでも発生しているトロイの木馬を悪用した機密情報の搾取が挙げられ、同社としてもトロイの木馬の対策サービスを検討している。