現在地 HOME > 掲示板
> IT4 > 890.html
★阿修羅♪
|
現在地 HOME > 掲示板
> IT4 > 890.html
★阿修羅♪
|
|
| Tweet |
コラム
2004/01/16 14:14:00 更新
Opinion:もはや無視できないフィッシング【IT_Media記事】ちょっと前ですが、投稿がなかったようなので
http://www.itmedia.co.jp/enterprise/0401/16/epn01.html
あたかも金融機関からのメールであるかのように騙って、ユーザーから口座番号やパスワードの情報などを引き出そうとする「フィッシング」メールが増加している。この問題に対処するにはどんな手立てが有効だろうか?
“フィッシング(phishing)”という言葉をご存知だろうか? もし聞いたことがなければ、知っておいた方がよいだろう。フィッシングはスパムにとてもよく似ている、望まないのに送られてくる商業的な電子メールだ。ただ、すべてのスパムメールが詐欺ではないのに対し、フィッシングはそのすべてが詐欺を目的にしている。企業と消費者にとって、フィッシングによる潜在的な損失は膨大な規模となる。
名前が示すとおり、フィッシングは、銀行口座など金融機関にアクセスして操作するのに必要な証明書を“釣る(fish)”ことを目的としたスパムを指す言葉だ。フィッシングメールは必ず、記録を更新する必要があるとか、セキュリティ処理が変わって口座を確認する必要がある、などという口実を使って、受信者に口座番号と関連パスワードを尋ねてくる。この電子メールを怪しまなかった受信者は、そうとは知らずに情報を提供してしまい、数時間後、場合によっては数分後に、漏洩した口座上で許可していない取引が発生する。
これまでのところほとんどの人は、インターネット上でこの手の情報を入力することは禁物であると知っている。だがフィッシングの場合、その電子メールが詐欺であると見抜くのはほぼ不可能だ。スパムと同様、通常フィッシング業者からの電子メールには、ちゃんとした企業からの電子メールと思わせるために、“FROM(送信元)”か“REPLY TO(返信先)”にニセの電子メールアドレスが明記されている。
ニセの証明書に加えて、通常、HTML形式の電子メールで送られてくる。知らない人の目にこの電子メールは、ターゲットとされた企業のトレードマークやロゴ、画像、ニセのURLが入っているように見える。多くの場合そのHTMLページは、ターゲット企業のWebサイト上から実際の画像を引き出して使うようにコーディングされている。
私が受信したことのあるフィッシングメールの多くは、米PayPalからのメールを偽っており、一見したところクリックするとPayPalドメインのページにジャンプするように見えるURLを含んでいた。本物に見えるリンクの背後にあるHTMLタグをざっと見てみると、実際のURLは、PayPalドメイン内にある実際のWebページではなく、暗号化されて確認できないIPアドレスのようだった。
米eBayの支払い専門の子会社であるPayPalは、フィッシングでターゲットにされることが多い。PayPalに加入したことがないのにフィッシングメールを受け取ったなら、明らかに詐欺と思ってよいだろう。だが、私のようにPayPalの会員ならば、フィッシング業者はその時点で、それまでユーザーを守ってくれていた非公式のsecurity-by-obscurity(隠すことによるセキュリティ)層を破ったことになる。PayPalの会員がこうした手法を通じてどのように犠牲者となったのか、それを知ることは簡単だ。
Antiphishing Working Groupの会長、デイビット・ジェバンス氏によると、フィッシングの標的となっているのはPayPalだけではないという。「報告されている全フィッシング攻撃のうちの35%はeBayのPayPalがターゲットで、最大の標的となっている。だが今後は、あらゆる金融機関、クレジットカード発行者、小売業者、その他の事業者が標的となりうる。英NatWestは2003年10月に大きな被害に遭い、同年12月にはそれを上回る大きな被害に遭っている。12月の攻撃はあまりに大きかったため、NatWestはサイトを閉鎖しなければならなかった。VISAも、年末年始の休暇シーズンに標的にされている」。
一見するとフィッシングは、電子メールで標的とした金融機関の口座保有者を調べようとするものであり、消費者が認識しておくべき種類の問題のように見える。実際、標的となった金融機関のポリシーによっては、消費者が損失をカバーしなければならないこともある。
ジェバンス氏は次のように説明する。「これまでのところ、個人を対象にしたほとんどの違反行為による損失は数百ドル単位で収まっている。小規模な取引の場合、すぐには口座の持ち主に知らせずに実行されるからだ。だが、金額は高くなっている。現在までの最高記録は1万6000ドルだ。もしフィッシング業者が入手した証明書がクレジットカードのものなら、リスクはカード発行者か小売店が負うことが多い」。ジェバンス氏がID窃盗と見なしているフィッシングによる被害が、個人ではなく、企業や事業者のものとなるのはこのためだ。
しかし企業が被る被害は、クレジットカードの各取引にまつわる財務的リスクにとどまらない。「これまでのところ多くの場合、ターゲットとなった組織のポリシーが処置をはっきりと保証していなくても、顧客との良好な関係を維持するため、消費者がフィッシングの結果として損失を受けた分も企業側がカバーしている」とジェバンス氏は言う。「フィッシングによる被害がどのくらい収益にダメージを与えるのかを示す1つの証拠として、複数のオーストラリアの銀行では、フィッシングに関連した損失をカバーすることだけを目的に200万ドルの基金を設立している」(ジェバンス氏)。
ジェバンス氏はまた、その他の損失分野も指摘する。「NatWestが自社のサイトを閉鎖しなければならなかった時、顧客がコンタクトをとる電話番号を設定・運営するための追加支出が生じた。このような状況では、電話が混雑し、それで長く待たされた不満顔の顧客は、事業をどのようにでも操ってしまう」(ジェバンス氏)。
ジェバンス氏によると、多数の口座がフィッシングされた後では、想定できない他のコストも生じるだろうという。新しいクレジットカードや口座、パスワードを発行するコストは、1ユーザーあたり50〜60ドルという。「2000件の口座が漏洩したとすれば、コストはあっという間に増加することが分るだろう。それだけではない。フィッシング業者が特定の金融機関で成功したら、この機関の信頼の輪は破られることになる。これは電子メールの場合はさらに顕著になる。つまり、フィッシングにより、金融機関が電子メールを介して顧客と関係を維持することはさらに難しくなる」(ジェバンス氏)。
責任は標的となった企業が考慮すべき別の分野だ。ジェバンス氏によると、Anti-Phishing Working Groupの会員企業の中には、自分の口座がフィッシングされたとして顧客に訴えられた企業もあると語る。この原告がその後どうなったかだけで、もう1本コラムが書けそうだが、この企業が自社の顧客を相手とした訴訟で勝とうが負けようが、法的コストが生じることは間違いない。
標的とされた企業は、このような訴訟のターゲットとなるだけでは終わらない。多くのフィッシング業者は、自分たちの行為を隠すために、ハッキングしたWebサーバ上で、そのWebサーバの運営者が知らないWebページを公表する。この状況では、ハッキングされたWebサーバの運営者が、ずさんなセキュリティ対策と不注意を理由に訴えられる可能性が充分にあるのだ。
あらゆる企業がフィッシング業者のショットガンから顔を背けている一方で、このような行為を止めさせる方法を模索し始める動きもある。スパムの時と同じで、解決策はまず技術的、法的、社会的なものとなる。
現在の最優先課題は、報告されている大手フィッシングからの攻撃に対処することだ。まず企業がとるべき最初の対策は、犯罪に利用される目障りなWebページを無効化することだ。「状況にもよるが、これはかなりの技術を必要とする作業だ。例えば、もしフィッシング業者がきちんとしたサーバをハッキングしてWebページを公開した場合、単にサーバを閉鎖したり、ISPからすべてのアクセスを切断するわけにはいかない。状況によってはそうすべき場合もあるが、異なる状況では、サーバの運営者とともにそのWebページを取り除かなければならない」(ジェバンス氏)。
ジェバンス氏は、これまでに報告されたフィッシング対応策の中で、最もプロアクティブなものでも充分ではないと警告する。「WebサイトやWebページを切断するには、19時間から6日半の時間を要する。Webサイトが海外にある場合、所要時間はさらに長くなり、一方でこのようなフィッシングの標的となったWebサイトは東欧やアジアに増えている。このような場合、閉鎖するまでの間にすでに被害は発生してしまう」とジェバンス氏。盗んだ資金は一時的な口座を通過し、金の流れを追跡できないような形で、最終的には海外の口座へ電子的に動かされるのだそうだ。ジェバンス氏は、「残念ながら、フィッシング業者はこれまで捕まっていない」と語る。
ユーザーは、疑わしいWebページを削除することで、ある程度対策をとれる。私のところにやってきたあるPayPalのフィッシングメールに関してeBayの広報部門にコンタクトをとったところ、同社の返事は、spoof@ebay.com宛てに報告書を作成して送るようにとのことだった。同社ではこの電子メールアドレスで、この手のレポートを収集しているという。
最初のフィッシングメールを受信してから、eBayにそのメールとヘッダーを転送するまでに約2週間の間があり、この間、Webページはアクティブなままだった。レポートを送って約24時間が経過した後、eBayから、確かにWebページは不正なもので、同社はすぐに行動を起こすという内容の返事を受け取った。私はWebブラウザから、例の不愉快なWebページに戻ろうと試してみたが不可能だった。eBayはあきらかに何らかの対策をとったのだ。
私のレポートをどのように扱っているのか、eBayは悪者を追跡しようとしているのか、詳細を問い合わせたところ、同社はコメントを控えた。ジェバンス氏によると、eBayのような対応はよくあることなのだそうだ。Anti-Phishing Work Groupの会員は大手金融機関やフォーチュン500企業などのいわゆる一流企業だが、会員企業の多くはフィッシングに関する話題の中で言及されることすら嫌がるという。
「技術面から見ると、フィッシングはスパムであることから、一つのアプローチとして、Webや電子メールのフィルタリングといった、スパム対策と同様のツールが有効だろう」とジェバンス氏はいう。「だがわれわれは、DNSを定期的にスキャンして、自分たちのドメインと似たドメインが登録されていないか調べることを推奨している。例えば昨年12月にVISAがターゲットになったとき、フィッシング業者はvisa-security.comというドメインを使っていた。また銀行の中では、自社の電子メールに電子署名を加える銀行が増えており、これはエンドユーザーにきちんと署名された電子メールと署名されていないものとを識別する教育につながっている」(ジェバンス氏)。
社会的見地からいって教育は重要だ。例えば、不正なメールを見抜き、それをどう処理するかについてユーザーは教育を受けておく必要がある。eBayはそのためのプロセスを持ち、実行しているが、他の企業は実行していないようだ。ジェバンス氏によると、www.antiphishing.orgではあらゆる人からのフィッシングに関するレポートを受け付けているそうだ。
フィッシング問題に対してきちんとした認識を確立しようと思う企業は、antiphishing.orgに参加すればメリットがあるだろう。同組織の会員になれば、この問題にいかに対処するかについて知識やアイデアを共有できるし、同組織は他のいくつかの業界組織とも連携している。ジェバンス氏によると、同組織のリトマス試験(フィッシング事業者が加盟しないようにするため)を通過した企業ならだれでも会員になれるとのことで、次の会合は1月29日、ニューヨーク市で開催される予定という。
最後に、もしこの会合に参加するのなら、オフィスに“フィッシングに行った”というメモを残しておくことを忘れずに。こうすれば、少なくとも同僚がそれがどんな意味なのかを尋ねてきて、あなたの社内での教育プロセスが始まるからだ。
原文へのリンク
関連記事
VISAからのメールを騙るフィッシング詐欺メールが広まる
Opinion:フィッシング詐欺に釣られてはいけない
[David Berlind,ZDNet/USA]
題名には必ず「阿修羅さんへ」と記述してください。