「Yahoo! JAPAN」を装い、会員情報の更新と称して本物そっくりの偽サイトに誘導し、個人情報やクレジットカード情報などを盗み取ろうとするフィッシングが、休むことなく延々と続いている。ネットセキュリティニュースでも6月、7月、8月と毎月記事を掲載し注意を呼び掛けているが、未だに収束する気配はなく、次々に新しい偽サイトが作られ大量のフィッシングメールがばらまかれているのが現状だ。そして困ったことに、偽物だと気付かずに誘導され、求められるがままに入力してしまうユーザーが後を絶たない。今回のトピックスは、日本国内で展開されるフィッシングの現状をまとめた。
<INDEX>
■国内フィッシング事情~少数ながら着実に広がる被害
■実録! 過去1年の事例で見る偽サイト
○Yahoo! JAPANのフィッシング ~ 使い古された手口で大量発生中
○金融機関を狙うフィッシング ~ シティバンク、UFJカード
○ニフティのアカウントを狙うフィッシング
○各国語に対応した「Windows Live」の偽サイト
○プレイオンラインの偽サイトはフィッシングとウイルスのダブル攻撃
■錠マーク付きなのに偽サイト
■エコポイントのサイトは本物?それとも偽物?
★フィッシングサイトの見分け方と防御策
<本文>
■国内フィッシング事情~少数ながら着実に広がる被害
世界中でどれくらいの数のフィッシングが行われているのだろうか。セキュリティ企業「RSAセキュリティ」の集計では、2008年のフィッシング攻撃の総数は13万5374件。フィッシング対策の業界団体APWG(Anti-Phishing Working Group)の集計では、2008年に報告されたフィッシングサイト数は27万8398件。OpenDNSが運営するフィッシング情報センターPhishTankの集計では、2008年に報告されたフィッシングサイトの有効数は15万8056件という。数字にばらつきはあるものの毎日数百件ペースのフィッシングが、世界のどこかで行われているらしい。
中国、米国に次ぐインターネット人口を抱えるわが国のユーザーの元にも、偽サイトに誘導するフィッシングメールは多数舞い込んでくる。が、多くは英語圏のユーザーを狙った英文メールであるため、言語の壁に阻まれて、国内のユーザーに実害が及ぶケースは極めて少なくなる。ところが、これが国内のユーザーを狙った日本語のフィッシングとなると、免疫の少なさも手伝って危険度がいきなり跳ね上がってしまう可能性が高い。
さて、そんな国内のユーザーがひっかかりやすいフィッシングは、いったいどれくらいの数があるのだろうか。公表されている具体的なデータが乏しいので、編集部が独自に調査した国内のブランド、国内のホスト、JPドメインが使われたフィッシングサイトの、過去1年間の状況を図1のグラフに示す。
ブランド、ホスト、ドメイン名のいずれかに日本が関与したフィッシングサイトは全部で1098件あり、国内のブランドが使われたケースは、そのうちの98件だった。あくまで編集部が氷山の一角を集計したに過ぎないが、世界規模のフィッシングと比べると、かなり数が少ないことは確かだ。もちろん、だからといって安心してよいという話ではない。国内のユーザーを騙そうとするフィッシングは着実に実践されており、現実に相当数の被害も出ている。
警察庁のまとめによると、今年上半期に摘発した不正アクセス禁止法違反1965件のうち、なんと1813件が、2007年に起きた福岡市のIT企業と暴力団による組織的なフィッシング事件によるものだった。関与した総勢15名の犯行グループは、ヤフーやイーバンク銀行の会員にフィッシングを仕掛け、盗み取ったアカウントを使ってこれらサイトに不正アクセス。ヤフーのオークション詐欺や、銀行口座からの不正送金を働いていたという。フィッシングは、自身が受けた被害もさることながら、悪用次第では第三者にまで大きな被害を及ぼしてしまうのだ。
【関連URL】
・マンスリー・オンライン不正状況レポート(RSAセキュリティ)
http://japan.rsa.com/node.aspx?id=3031
・APWG報告書 (フィッシング対策協議会)
http://www.antiphishing.jp/apwg-report/
・APWG Phishing Trends Reports[英文](APWG)
http://www.antiphishing.org/phishReportsArchive.html
・平成21年上半期のサイバー犯罪の検挙状況等について[PDF](警察庁)
http://www.npa.go.jp/cyber/statics/h21/pdf50.pdf
過去1年間に狙われた国内ブランド98件の内訳は、シティバンク2件、UFJカード2件、ニフティ、マイクロソフトの「Windows Live」、スクウェアエニックスの「プレイオンライン」が各1件で、残りはヤフーとなっている。とくに6~8月には、「Yahoo! JAPANプレミアム」や「Yahoo! JAPANオークション」と称した偽サイトが大量発生し、月間の総件数を押し上げてしまった状態。ちなみに、8月の件数が大幅に跳ね上がっているのは、50サイト余りを抱える共有サーバー1台の不正アクセスの影響で、配下のサイト全てがフィシングサイトと化してしまったため、このような結果となった。
○Yahoo! JAPANのフィッシング ~ 使い古された手口で大量発生中
国内で最も多いのが、Yahoo!オークションのユーザーを狙うフィッシングだ。数年前から断続的に続いているが、今年に入ってからは毎月のように出没。とくに5月以降は、これまでにない数の偽サイトが次から次へと作られ、フィッシングメールやフィッシングサイトの話題が連日のようにブログや掲示板などにも書き込まれている。
手口の多くは、ユーザーアカウントを更新しないと利用できなくなるなどとしたメールを送り付け、偽サイトのリンクをクリックさせようとする、使い古されたオーソドックスなもの。誘導先の偽サイトも、ここ2~3年は見た目に大きな変化はななく、編集部が最近確認したものも、微妙に違う3種類に集約できる。
(A)
(B)
(C)
図2:誘導先の偽サイト~微妙に違う3タイプ
図2の(A)は最もオーソドックスなタイプで、IDとパスワード、氏名、住所などの個人情報、クレジットカード情報、セキュリティーキー、秘密の質問と答えなどを入力させる。これからIDとパスワード欄を除いたものが図2(B)。セキュリティーキー欄が3Dセキュアのパスワードになっているのが図2(C)だ。偽サイトの運用面をみると、多くは米国などの海外のレンタルサーバーに設置し、入力した情報を別のレンタルサーバーにポストして保存する仕組みだが、国内のレンタルサーバーを利用したものや、入力情報をその場でメール転送しているものもあり、攻撃者は複数いる可能性が高い。
偽サイトのURLは、同社のサービスが使用している「yahoo.co.jp」とは全く無関係のドメインなので、URLを見れば偽物であることは一目瞭然。本物のヤフーのログインページや登録ページような暗号化通信(SSL)にも対応していないので、アドレスバーの横やステータスバーに錠マークは表示されない。錠マークが表示されないページでは、個人情報などを入力しないという鉄則を守るだけでも、ヤフーのフィッシングは回避できるのだが、「更新しないと利用できなくなる」とか、「出品制限等の不具合を起こす場合もある」などと言われると焦ってしまうのだろうか。偽サイトに行って、言われるがままに入力してしまうユーザーが後を絶たない。
そもそもYahoo!オークションには、ユーザーアカウントの更新などないし、一度登録したYahoo!プレミアムは、自身で登録を解除しない限り自動更新されるようになっているので、このような手続き自体が存在しないのだ。
○金融機関を狙うフィッシング ~ シティバンク、UFJカード
海外のフィッシングでは、金融関係のブランドが標的になるケースが圧倒的に多いが、国内の事例に関しては少なく、過去1年間ではシティバンクとUFJカードの2例・4件しかない。これらに関しても、おそらくは海外からの攻撃とみられ、フィッシングメールが英文だったり、機械翻訳丸出しの日本語だったりと、騙すレベルには程遠い。多くの方は、メールを開いた瞬間に、怪しいと察知できるだろう。
しかし、本物のサイトをコピーして作った偽サイトの方は、見た目はそっくり(図3、図4)。ひとたび誘導されてしまうと、騙されてしまうかもしれない。また、前述の日本人が仕掛けたイーバンク銀行のフィッシングなどでは、いかにもそれらしい文面のメールが送られているので油断できない。金融機関がメールのリンク先で個人情報などを入力させるようなことは、原則ないと覚えておこう。
「原則」というのは少々歯切れが悪いが、困ったことにメールのリンクからログインさせようとしたり、クレジットカードやローンの新規申し込みをさせようとするなど、フィッシングに悪用されやすい行為を自らやってしまう金融機関があるのも事実。「ログインは、あらかじめブックマークに登録しておいた正規サイトのものを使う」「ブラウザのアドレスバーの横やステータスバーに錠マークが表示されない場所では、絶対に個人情報は入力しない」の2点を、まずは厳守していただきたい。
なお、編集部では闇金業者に分類しているため今回は取り上げなかったが、金融機関をかたる類似行為として、おまとめローンのサイトもしばしば出没するので、注意していただきたい。こちらは、融資詐欺などの標的にされるおそれがある。
○ニフティのアカウントを狙うフィッシング
ニフティは昨年の1月、6月、10月、11月の4回、フィッシングサイトが発見されたとしてユーザーに注意を呼びかけている。電子メールのパスワードの有効期間が過ぎたとして、@niftyの偽のログインページに誘導し、IDとパスワードを入
力させようとする手口だ。
編集部が10月に確認した偽サイト1件もこのタイプで、偽サイトには、「nifty-****.com」のというような紛らわしいドメイン名が使われていた。フィッシングには、このように紛らわしいドメイン名を使用して、ユーザーを欺こうとするものもある。また、「正規サイトのサーバー名.ドメイン名」というように、正規サイトのサーバー名やブランド名を付けたサブドメインで運用されることも多い。
前述のヤフーのフィッシングでは、紛らわしいドメイン名を使用したものはなかったが、「yahoo-customer.ドメイン名」のように、サブドメイン名に入れたものや、「****.com/yahoo-actions.co.jp/」「***.com/yahoo-auction.acounte/」というように、パス名にそれらしい単語を並べたものがあった。ログインページや個人情報などの入力ページでURLを確認する際には、このような小細工に惑わされることなく、先頭が「https://」で始まり、次の「/」の直前が正規のドメイン名であることを確かめていただきたい。
なお、ISPやWebサービス系の類似行為としては、この他に「mixi」やそれとよく似た紛らわしい名前を使ったサイトもしばしば出没する。編集部が調査したものは、いずれも別のサーバーで運営している出会い系サイトに登録する仕組みになっていたため、今回のフィッシング事例には含んでいないが、これらは、その後に大量のスパムが届いたり、ポイント制の有料サービスに引きずり込まれたり、架空請求を受けるなどのおそれがある。
○各国語に対応した「Windows Live」の偽サイト
7月に見つかったマイクロソフトの「Windows Live」のフィッシングでは、ブラウザの言語設定に応じて姿を変える、マルチリンガル対応の偽サイトが1件含まれていた。フィッシング自体は英語圏のユーザーを狙った英文のフィッシングメールを送りつけるもので、言語を英語に設定したブラウザでアクセスすれば、図6(A)のような英語のログインページが表示される。ところが、同じサイトを日本語に設定したブラウザでアクセスすると、図6(B)のように日本語のログインページが表示される。ブラウザの設定に合わせて、偽サイトの表示が変わるのだ。
図6:「Windows Live」の偽サイト(2009年7月)
これは、本物のサイトのログインページがもともとそのように作られていたからで、手を抜かずに全て忠実にコピーすれば、このようなマルチリンガルな偽サイトが出来上がる。が、その分手間はかかり、実際にそれをやって日本語にまで対応しているものは珍しい。英語のフィッシングメールを無視しきれず、うっかりクリックしてこの画面だと、騙されてしまう人が続出するかもしれない。
○プレイオンラインの偽サイトはフィッシングとウイルスのダブル攻撃
スクウェアエニックスは8月10日、同社が運営するオンラインゲーム「ファイナルファンタジーXI」の公式サイトを装い、偽の「ファイナルファンタジーXI リンクシェルコミュニティβ版」のログインページに誘導し、IDやパスワードを盗み取るフィッシングが確認されたとしてユーザーに注意を呼びかけた。
問題のサイトは、公式サイト名の「PlayOnline」や、ゲーム名の「ff11」、社名の「enix」などを盛り込んだ紛らわしいドメイン名を使い、8月初旬から幾度か改築や移転を繰り返しながら稼動を続けている。
図7:プレイオンラインの偽サイト(2009年8月)
偽のログインページは、図7(A)のような英語版しか用意されていないが、プレイオンラインIDと同パスワードだけしか入力しない本物のログインページと違い、スクウェアエニックスIDと同パスワード、ワンタイムパスワードも入力させようとする。もちろん他の偽サイト同様、SSLには対応していないので銃マークの有無で本物かどうかを識別できる。
このフィッシングサイトでは、偽のログインページでアカウントを盗み取った後、さらにアカウントを盗み取るウイルスまでインストールしようとする極悪な仕様だ。別のページには、図7(B)のようなダイアログをクリックさせてウイルスをインストールしようとするページも仕掛けられており、こちらは日本語で表示される。ダイアログの表示がちょっと怪しいが、バックは日本語の公式サイトの内容をそのまま読み込んで表示しているので、見た目は日本語サイトそのもの。間違ってクリックしてしまうと、偽ログインページと同じウイルスがインストールされてしまう。
一般的なフィッシングでは、メールを送り付けて偽サイトに誘導するケースが多いが、このフィッシングはゲーム内のチャットを使い、ゲームマスターなどを装って、規約違反や課金の問題があるというメッセージを送って偽サイトに誘導しようとする。不特定多数にばらまくメールと違い、まさにそのゲームをプレイしているユーザーをピンポイントで射止めようとするのだから、うっかり誘導されてしまう危険度はかなり高くなる。
不審なサイトへの誘導にはメールだけでなく、チャットやインスタントメッセンジャー(IM)、掲示板、ブログなどあらゆるものが利用される可能性があるということを忘れないでほしい。普段は注意深い人でも、警戒心の薄いところに絶妙なタイミングで、うまい仕掛けが垂らされると、意外と簡単に釣られてしまうことがある。自分は大丈夫…と思っている方は、とくに注意していただきたい。
【関連URL】
・フィッシング詐欺にご注意ください(PlayOnline.com)
http://www.playonline.com/home/polnews/news16691.shtml
SSLに対応した錠マークの表示されるサイトかどうかは、フィッシングサイトを見分ける最重要ポイントだ。フィィッシングの寿命はたいへん短く、まともなレンタルサーバーを悪用したり、不正アクセスで設置したフィッシングサイトの多くは、1営業日程度で閉鎖に追い込まれてしまう。そんな使い捨てのフィッシングサイトのために、いちいちサーバー証明書をとってSSL対応にするのは、時間的にもコスト的にも見合わないし、リスクも増大してしまう。したがって、偽サイトには鍵マークなしと思って、99%間違いない。
ところが、稀に錠マークが出てしまう偽サイトが出現する。SSL対応のサーバーが不正アクセスされたり、SSL対応の共有サーバーが悪用された場合だ。
図8:SSLで接続できる錠マーク付きの「Skype」偽サイト(2009年3月)
画面中央の巨大な錠マークは、偽サイトが表示している無意味な画像(本物のサイトにもあるが、誤解を与える紛らわしい表示で好ましくない)。
SSL接続の証は、画面右下のステータスバーに表示される小さな錠マーク。画面のブラウザはFirefox3だが、3ではSSL接続時にアドレスバー左のアイコン(ファビコン)の背景が青や緑に変り、3.5ではドメイン名も表示される。
過去1年間の偽サイト1098件中、誘導リンクのURLが最初から「https:」になっていて、そのまま何事もなく錠マークが表示されてしまった偽サイトが3件。誘導リンクのURLは「http:」だったが、「https:」に変えれば警告なく錠マークを表示できたものが4件存在する。いずれも不正アクセスによってSSL対応の正規サイトに設置されてしまった海外ブランドのフィッシングで、国内ブランドに限ればこれまでのところ見当たらない。だが、管理のずさんなSSL対応サーバーを使った錠マーク付きの国内ブランドの偽サイトは、いつ出てきてもおかしくない状況にある。いや、すでに登場しているのかもしれない。
SSLで接続できた場合、それが馴染みのサイトであるのならば、いつも利用している正しいドメイン名あるいはサーバー名かどうかも合わせてチェックするようにすれば、フィッシングは100%防御できる。もし、初めて訪れるサイトだったり、ドメイン名やサーバー名がよく分からいような場合には、錠マークをクリックすると証明書の発行先の企業名が明記されていることがあり、それが真贋を見分ける手がかりになることもある。ところが、そのような配慮がなされていないサイトも多数あり、本物か偽物かを一目で見分けるのを困難にしてしまっている。
たとえば、6月に開設された国の事業である「グリーン家電エコポイント事務局」というサイトは、この手の典型的な悪例だ。このサイトは、「eco-points.jp」というドメイン名で運営されている。JPドメインには、政府機関向けの「go.jp」や地方公共団体向けの「lg.jp」のように、それ自体が発行先の特別な属性を示し、一般人には取得できないようになっているものがある。このサイトが「eco-points.go.jp」であったなら、一目でそれが国の事業に関係するサイトであることが分かるのだが、同サイトは誰でも取得できるドメイン名を使ってしまい、せっかくのJPドメインの仕組みは台無しに。加えて、「eco-points.jp」「eco-point.jp」「ecopoints.jp」「ecopoint.jp」といった、よく似たドメイン名を、誰でも自由に使える状況にしてしまった。
当該サイトでは、エコポイントのネット申請を受け付けており、個人情報を入力するページは当然SSLでしか接続できないように作られている。ところが、申請フォームを開くと「eco-points.secure.force.com」という、別サイトに飛ばされてしまう。サーバー証明書を確認すると、米カリフォルニアのSalesforce.com社の共有サーバーに与えられた証明書であることがわかる。入力フォームにはグリーン家電エコポイント事務局とあり、見た目やリンク先は「eco-points.jp」そのもの。環境省などのロゴも並べられ、URLにも「eco-points.secure」とそれらしい名前が綴られている。が、見た目にごまかされてはいけない。これらはいずれも、これまでにお見せした偽サイトたちの騙しのテクニックばかりではないか。SSL対応の共有サーバーが悪用された場合の「錠マーク付き偽サイト」は、これとまったく同じ巧妙なフィッシング攻撃を仕掛けて来るのだ。
実際のところ、当該サイトは決して偽物などではなく、このようなサイトを作ってしまった無頓着な設計者や、それを許してしまった担当者に問題があるのだが、せっかくなのでこれを反面教師としたい。もし、ここまで読んでこられた読者が、実際にこのような場面に遭遇した場合には、サイトの正当性を徹底的に調べて納得できた上で個人情報を入力するか、即座にブラウザを閉じてその場を立ち去るかのどちらかだろう。何の疑問もためらいもなくフォームに入力してしまうとしたら、いつフィッシングにひっかかっても不思議ではない、被害者予備軍の可能性が極めて高い。
【関連URL】
・グリーン家電普及促進事業「エコポイント」
http://eco-points.jp/EP/index.html
------------------------------------------------------
★フィッシングサイトの見分け方と防御策
今回のトピックスは、これまでに実際に行われてきた、国内のフィッシング事例を中心に紹介させていただいた。 フィッシングの基本的な話や防御策については、下記トピックスを参照していただきたい。4年近く前の内容だが、 書かれていることは現在も十分通用する。
・もう騙されない!~フィッシングサイトの見分け方【初級編】http://gendaiforum.typepad.jp/column/2005/10/index.html
・もう騙されない!~フィッシングサイトの見分け方【上級編】http://gendaiforum.typepad.jp/column/2005/11/index.html
------------------------------------------------------
(執筆:現代フォーラム/鈴木)