kessem氏が執筆したモバイルマルウェアに関する警鐘記事

EMCのRSA事業部は、イスラエルに「Anti-Fraud Command Center(AFCC)」というオンライン不正対策センターを持つ。AFCCで主席研究員を務めるLimor S Kessem氏に、フィッシング攻撃に対する同センターの取り組みついて話を伺った。

フィッシング攻撃に対する取り組みの前に、AFCCが具体的にどのような業務を行っているのか説明する。

AFCCは、RSAと契約している企業に関するフィッシングサイトやトロイの木馬による不正、攻撃を検知して、不正サイトの閉鎖を実施しており、2003年のサービス開始以来、2013年8月1日までに約80万サイトを閉鎖してきた実績を持つ。

24時間365日体制で、130人のアナリストが不正サイトの調査と分析をイスラエルで行っており、1万3000社以上のホスティングサービス企業と連携してフィッシングサイトの撲滅に尽力している。

国際的な企業であると、「日本での対応が遅れるのでは」と思う方がいるかもしれないが、同機関には185カ国の通訳がいるため、そのような心配には及ばないという。

フィッシングサイトはお金と個人情報の両方を狙う

フィッシングサイトは2005年から増加の一途を辿っている。2013年は、第2四半期の段階で初めて減少に転じているものの、時期的な要素も強く、通年では増加する可能性も残されているという。

フィッシング攻撃はどのようなサイトを対象として行われるのか。kessem氏は「銀行やeコマース、オンラインウォレットなどの直接お金に関わるサイトはもちろんのこと、FacebookやTwitterといったSNSで人物に関する情報を盗み取ることで信用情報に利用できる」と説明する。

ほかにも、仮想通貨であるマイレージを運用している航空会社サイトや、コインを使用するオンラインゲームサイトが狙われており、「特にFacebookは、仮想通貨を利用するゲームも提供しているため、SNSのプロフィール情報だけではなく、仮想通貨の取引サイトとしても狙われている」(kessem氏)として警鐘を鳴らす。

攻撃対象の企業や組織に勤める人物の役職や細かな属性を取得するフィッシング攻撃の場合、情報を取得した後に標的型攻撃が行われる。攻撃の内容については「○○さんとお目にかかりたいというメッセージを、受付業務を行う一般社員に送り付けて業務PCを感染させるものから、初めから上層部にターゲットを絞るスピアフィッシングまで存在する」とkessem氏は語る。

また、大規模な犯罪グループは金銭目当てでこれらの攻撃を行うが、ソースコードや設計図などの知的財産を狙った標的型攻撃は「国家による攻撃も存在する」という。

1時間でアクセスを禁止、7時間でサイトをシャットダウン

AFCCではフィッシングサイトを検知すると、Internet Explorerを提供するMicrosoft、Chromeを提供するGoogle、Firefoxを提供するMozillaなどのブラウザ提供企業に通報を行う。ブラウザだけではなく、ポータルサイト提供企業にも通報することで、アクセス経路をシャットアウトするのが狙いだ。

フィッシングサイトは、サイトが立ち上がってから検知、削除されるまでの寿命の中央値が10時間(フィッシングサイト対策コミュニティのAPWG調査)と言われている中、AFCCは1時間程度で各ブラウザ、ポータルサイト提供企業への連絡を行うという。

その後、フィッシングサイトのシャットダウンを行うわけだが、フィッシングサイトが運用されているサーバーがある国家の管轄当局に、サイトをシャットダウンする法的書類を提出する必要がある。そのため、書類受理からサーバー運営会社がシャットダウンするまで時間がかかるという。

それでも、RSAによってシャットダウンされたフィッシングサイトの平均寿命は7時間となっており、一般的な寿命の中央値より3時間早くアクセスを根絶できる。

法的書類が受理されるスピードは国によってまちまちで、アメリカや日本では対応が早い一方、ウクライナや中国は時間がかかるという。また、フィッシングサイトを取り締まる法律が制定されていない国もあり、日本でも2012年に不正アクセス禁止法が改正されるまで、フィッシングサイトによる被害が確認されるまではサイトの削除ができない状況であったという。

フィッシングサイトを作る攻撃者は、不正アクセス禁止法のような法律が制定されていない国、地域でホスティングサービスを探すといい「グアムや、殆どの人に知られていないニュージーランド領のトケラウ諸島といった場所でフィッシングサイトを作成していた攻撃者もいた」とkessem氏は話した。

最後に、ユーザーがフィッシングサイトから身を守るためにはどうすれば良いかとkessem氏に尋ねると、「フィッシングサイトをユーザー自身が見抜くことは難しいが、どこの銀行も訪問しているサイトが安全であることを表わすSSL証明書による認証を受けているため、URLの確認とアドレスバーが緑色に表示されているかの確認をして欲しい」とアドレスバーに注目するよう話した。

また、「Eメールによる誘導でオンラインバンクからお金を引き出される被害が多いが、その誘導は『個人情報を入力してください』といったもの。銀行がメールを利用して個人情報を入力させることはないので、銀行のカードなどに記載してある電話番号やURLから連絡を行うことが重要。メールで完結するのは絶対にやめてほしい」と、オフラインを含めた複数経路からの安全確認を呼びかけた。