フィッシング詐欺の仕掛け人は、銀行や著名企業の名前をかたったメールを送りつけ、うっかり信じた人を偽サイトへ誘導し、IDやパスワード、暗証番号などを入力させて騙し取る。その個人情報を悪用し、オークション詐欺で荒稼ぎしたり、ネットバンクから不正引出しを行うなど、あらゆる方法で「金の詐取」を行う。こうしたフィッシング詐欺が激増しており、新しい騙し方も次々に繰り出されている。その手口を洗い出し、対策をまとめた。
<INDEX>
■ フィッシング詐欺師はどのように人を騙し、利益を手にするのか
■ 目的は「金」、手段は「オークション」が最多
■ 著名企業を装ったメールで偽サイトへ誘導
■ 脆弱性を狙い、正規サイトをフィッシングサイト化
■ 次々に繰り出される「新しい騙し方」あの手この手
■ 詐欺師は「スピード命」~アドレスバーと「錠マーク」の確認を
<本文>
■ フィッシング詐欺師はどのように人を騙し、利益を手にするのか
4月18日、フィッシング詐欺で金を騙し取った25歳の男に、京都地裁は懲役3年6月、罰金100万円の実刑判決を言い渡した。男はヤフーオークションでダイエット食品を架空出品し、これを落札した女性をフィッシングサイトに誘導。偽の入力画面で住所氏名やクレジットカード番号などを入力させ、盗み取った。
男はこの盗んだ個人情報を使い、落札代金立て替えサービス(ヤフーかんたん決済)を悪用して金を騙し取っている。まず、ヤフーオークションで商品を落札し、代金立て替え業者から商品出品者に料金を支払わせ、その後で商品購入をキャンセル。業者が立て替えた金を自分に返金させるという手口だ。この方法で繰り返し金を騙し取り、被害総額は200万円を超えた。
こうしたフィッシング詐欺は、ここ1年で急増している。国家公安委員会、総務省、経済産業省が2月29日に発表した2007年の「不正アクセス行為発生状況」調査資料によると、同年の不正アクセス検挙件数は1,442件で、その不正アクセスに使われたIDとパスワードは「フィッシングサイトにより入手」したものが1,157件あった。つまり、不正アクセスの80%以上がフィッシングを利用して行われたことになる。
【関連資料:国家公安委員会、総務省、経済産業省】
・「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
>2007年版(2008年2月29日発表)
http://www.soumu.go.jp/menu_news/s-news/2008/080229_6.html
>2006年版(2007年2月22日発表)
http://www.soumu.go.jp/menu_news/s-news/2007/070222_3.html
上掲資料の「表3-1 不正アクセス行為に係る犯行の手口の内訳」を見ると、フィッシングの急増ぶりに驚かされる。フィッシングサイトを開設して識別符号(ID・パスワード)を入手したものが、2005年にはわずか1件だったのが、2006年には220件、2007年には1,157件に激増している。
不正アクセス行為の動機は、「不正に金を得るため」が1,186件で、次位の「オンラインゲームで不正操作を行うため」の133件を1,000件以上も引き離して最多である。実際に行われた行動を見ると、「インターネットオークションの不正操作」が1,178件で1位、2位は「オンラインゲームの不正操作」171件で、この2つで全体の93%を占める。
オークションで金を騙し取る手口は、冒頭にあげた立て替えサービス悪用例のほか、フィッシングで集めたID・パスワードを使ってオークションに架空出品し、代金を騙し取るものが多い。上掲資料の「検挙事例」に、その一例があげられている。
この事例は2005年から2006年にかけて起きた大規模なフィッシング詐欺で、実行者の4人はヤフーオークションのホームページを複製したフィッシングサイトを作り、偽のログイン画面を設置。この偽サイトへ誘導する電子メールをオークション会員に送信し、本物と信じた会員が入力したID・パスワードを盗み取った。これを用いてヤフーオークションのコンピューターに不正アクセスし、他者になりすまして架空出品を行い、多数の落札者から代金を騙し取った。盗んだIDは約1,100名分、架空出品した品は約920点にのぼり、全国で約450件、総額約2,000万円を詐取したとみられている。
フィッシングの実行者たちは、オークションだけでなく、あらゆる手を使って個人情報を盗み取ろうとする。著名企業の名をかたるメールで偽サイトに誘い込み、ID・パスワードを入力させようとするのも常套手段の一つだ。今年に入り、この著名企業の名をかたるフィッシング行為がひんぱんに発生した。
1月25日には、シティバンクを装う偽メールと偽サイトへの警告が出された。同27日には、SNS(ソーシャル・ネットワーキング・サービス)のmixiが、同社の社名をかたる偽メールと偽サイトに注意を促した。スパムメールは送付元の名称を「mixii運営事務局」などとし、mixiとよく似たサイトへ誘導して情報を入力させようとした。
2月1日にはNTTドコモが、「ドコモ」を名乗るスパムメールと偽サイトについて警告。同25日にはイーバンク銀行をかたる偽サイトが登場した。同行からのお知らせを装う偽メールで誘導し、偽ログイン画面で「ユーザーID」「ログインパスワード」「暗証番号」を入力させ、国内のフリーメール宛に送信する仕掛けだった。3月14には、ゆうちょ銀行をかたる偽メールと偽サイトへの注意が発せられた。偽メールは「ゆうちょダイレクト【重要なお知らせ】」という件名で届き、偽サイトに誘導。ログイン画面には「お客様番号」「ログインパスワード」「インターネット用暗証番号」の入力欄が設けられていた。
これら著名企業をかたって詐取した情報は、どのように悪用されるのか。ヤフーなどオークションを運営する企業の場合はオークションIDを盗んでオークション詐欺を。クレジットカードや電子マネーを扱う会社の場合はそれらのID・パスワードを盗んで購入転売を。ネットバンクの場合は不正引き出しを。ゲーム会社の場合はアイテムやマネーを転売して換金。メールアドレスやオークションIDなどは詐欺に利用するだけでなく、そのまま売り飛ばすケースも多々ある。SNSの場合などは、誘導先で個人情報を入力させ、出会い系サイトに会員登録してしまうなどということも行われている。
最近、正規サイトの改ざん事件が相次いでいるが、正規サイトがフィッシングサイトに仕立てられてしまう例も後を絶たない。サーバーに脆弱性などがあると、そこを突いて侵入され、フィッシングサイト用プログラムを埋め込まれてしまう。
昨年10月、横浜国立大学のサイトには、米国の決済サービス大手、PayPal(ペイパル)の偽サイトが仕掛けられた。同11月には、福島県会津若松市のサイトに、PayPalの親会社で米国のネットオークション大手、eBay(イーベイ)の偽サイトが仕掛けられた。両者とも、それら偽サイトへ誘導するフィッシングメールが確認されている。
横浜国大に設置されたPayPalの偽サイトは本物そっくりのログイン画面を表示し、偽メールで誘導したユーザーに、メールアドレスとパスワード、住所や氏名、クレジットカード情報まで入力させようとした。事態が発覚しサーバーが緊急停止されるまで、5,025件のアクセスがあり、19件の入力があったという。
こうしたサイト改ざんのほか、トロイの木馬などを使って乗っ取ったユーザーのパソコンが偽サイトに仕立てられることも多い。先月のトピックスで詳しく取り上げたが、ボットに感染したパソコンに銀行のログイン画面などを仕込めば、たちまちフィッシングサイトが出来上ってしまう。
フィッシング詐欺の実行者は次々に新しい騙し方を繰り出しており、セキュリティベンダー各社は新手口を常に監視し、ユーザーに警戒を呼びかけている。自分は大丈夫と思っても意外なところに落とし穴が仕掛けられているもので、十分な注意が必要だ。
◎情報入力に失敗してもトロイの木馬~二段構えのユーザー攻撃
米国のセキュリティベンダー RSA Securityは4月21日、フィッシング詐欺の黒幕として知られる犯罪組織「Rock Phish」の新しい攻撃手法を確認したとして、注意を促している。ユーザーを誘導した先のフィッシングサイトで個人情報を入力させることに失敗しても、ユーザーのパソコンに「Zeus」というトロイの木馬の亜種を侵入させ、パソコンから個人情報等を収集して外部に送信させるというもので、セキュリティソフトも見逃す可能性があるという。
◎SNSを利用してURLをクリックさせ、フィッシングサイトへ誘導
シマンテックは4月17日、「インターネットセキュリティ脅威レポート(ISTR)」最新号 (第XIII号)を発表した。配布された広報資料によると、2007年下半期、同社が確認したフィッシングサイトの66%は米国内に存在しており、もっとも多かった手口は、SNSを利用したものだという。米国内にホストがあるサイトに対するフィッシング攻撃のうち、2つのSNSサイトだけで全体の91%を占めた。攻撃者はSNSに入り込み、URLを書き込んで偽サイトへ誘導する。SNSメンバー間の信用に付け込んだ方法で、クリックされることが多いという。
◎偽のBank of Americaが「デジタル証明書」更新を迫る
フィッシング対策協議会は3月31日、アメリカの金融機関「Bank of America」をかたるフィッシングメールとサイトを確認したと注意を呼びかけた。偽メールは、不審な動きがあったためアクセス制限をしていると言い、「制限解除のため本人確認を行ってください」として偽サイトに誘導し、ID・パスワードの入力を要求する。この誘導先の偽サイトは、国内の企業サイトに仕掛けられていたという。その後半月以上経過した4月17日、トレンドマイクロのブログでは、Bank of Americaをかたる偽メールで、「デジタル証明書のインストールページ」に誘導するフィッシング行為があったと警告している。これまでのような「本人確認のための個人情報」入力ではなく、デジタル証明書の作成とインストールが必要として、証明書の作成過程で個人情報の入力を求めてくる。個人情報を入力すると、さらにプログラムのダウンロード・実行を要求してくるという。このプログラムが危険なウイルスであることは言うまでもない。
このほか、金融機関をかたる偽メールを送りつけ、メールに書かれた偽の電話番号にかけさせて口座番号を聞き出す「音声フィッシング」(ビッシング)や、特定企業や個人をターゲットにした「スピアフィッシング」にも、警戒が必要だ。
・RSAのリリース(08/04/21)
http://www.rsa.com/press_release.aspx?id=9347
RSA, The Security Division of EMC, Discovers "Rock Phish" Attack Evolution[英文
・RSAのブログ(08/04/23)
http://www.rsa.com/blog/blog_entry.aspx?id=1274
Topics: Online Fraud, Fraudsters | Phishing[英文]
・シマンテックのリリース(08/04/17)
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20080417_01
シマンテックのレポート、信頼あるサイトを狙った攻撃の増加を報じる
・フィッシング対策協議会
http://www.antiphishing.jp/
・トレンドマイクロのブログ(08/04/17)
http://blog.trendmicro.com/digital-certificates-not-always-a-safety-guarantee/
Digital Certificates Not Always a Safety Guarantee[英文]
・ソフォスのリリース(08/02/20)
http://www.sophos.com/pressoffice/news/articles/2008/02/vishing.html
Voice phishers cash in on genuine warning with cloned switchboard[英文]
■ 詐欺師は「スピード命」~アドレスバーと「錠マーク」の確認を
新たな手口を次々に繰り出してくるフィッシング詐欺だが、騙されないための対策は、これまで指摘されてきたことと基本的に変わらない。要点を確認すると。
(1) 金融機関は「メールや電話で個人情報を尋ねることはない」を頭に叩き込む
金融機関(銀行、保険会社、カード会社など)は、メールや電話で口座番号や暗証番号、カード番号などの個人情報を問い合わせてくることは「決して」ない。これらを尋ねてくるメールや電話があれば、フィッシング詐欺と断定してよい。
(2) 個人情報を書き込むサイトへのアクセスは「お気に入り」から
フィッシングサイトへの誘導は、偽メールやウェブサイトに書かれたURLをクリックさせることから始まる。重要な個人情報を書き込むサイトへは、「お気に入り」に登録したURLからアクセスすることをお勧めする。
(3) 個人情報入力時はアドレスバーと「錠マーク」を確かめる
住所氏名や暗証番号、口座番号、カード番号などをオンラインで入力する時は、必ずアドレスバーと、「錠前」のアイコンを確かめる。信頼できるサイトは重要情報入力の際は、SSL(Secure Sockets Layer)を使用して暗号化通信を行っており、この場合、アドレスバーのURLは「https://」で始まり、ステータスバーには閉じた「錠マーク」が表示される。IE7の場合はアドレスバーの右横に表示される。
とくに、錠マークがあるかどうかの確認は重要だ。今は偽サイトを簡単に作れるツールが出回っており、多数のサイトに対して一斉攻撃が行われている。偽サイトを作り、偽メールをばら撒いてから「偽」が露見するまでのせいぜい数時間~1日が、フィッシング詐欺の勝負だという。フィッシングを仕掛ける側は、短時間にどれだけの人数をひっかけられるかがテーマで、手間とお金がかかる錠マークを取得する余裕はないのである。
(執筆:現代フォーラム「ネットセキュリティニュース」編集部)