フィッシングは毎日、世界中で大量に発生しているが、国内ユーザーは日本語が防御壁となって、狙われることは少ない。たとえ偽メールが届いても、英文の場合は無視する人がほとんどだろう。ところが、偽メールも偽サイトも日本語仕様になると、ひっかかる人が続出する。多くの被害が出ているネットバンキングやポータルサイト、オンラインゲームなど「国内ユーザーを狙うフィッシング」について、最新動向と手口についてまとめた。
<INDEX>
■被害が続出する日本語フィッシング
■多様化するブランド
■フィッシングは短期決戦
■種類別フィシングの傾向と手口
【1】ポータルサイト/ISPのフィッシング
【2】オンラインバンキングのフィッシング
【3】決済サービスのフィッシング
【4】オンラインゲームのフィッシング
【5】交流サイトのフィッシング
【6】その他のフィッシング
<本文>
ポータルサイトを狙った日本語のフィッシングが、2009年から先頃まで大量に発生していた。国内の複数のグループが仕掛けていた、純国産の日本語フィッシングだ。大規模に展開していた4つのグループが摘発され、現在は終息状態にあるが、それぞれのグループが500人~3000人分近いクレジットカード情報をだまし取り、カードの不正使用で500万円~5000万円もの被害が出ている。
昨年から続いているオンラインバンキングのアカウント情報を狙ったフィッシングでも、ひっかかってしまった数十人の預金口座が不正アクセスを受け、合計数千万円(ウイルスによる被害を含むと3億円以上)の預金が、犯人グループの用意した口座に送金されてしまったという。一連のフィッシングは大半が中国のグループによるものと見られるが、海外からの攻撃には珍しく、機械翻訳ではないまともな日本語がメールとサイトに使われていた。
図1 フィッシングの発生頻度(2011年1月1日~2012年7月13日)
出所:ネット上で公表されたフィッシング件数と内容を元に筆者が作成
図1は、国内ユーザーを標的としたフィッシングの発生頻度(フィッシングが行われた回数)を、昨年1月1日から今年7月13日まで、月単位でまとめたものである。ネット上で公表された、時期とブランドが特定できる確かなものに限定しているので、これで全てというわけではなく、およその傾向を把握するための参考と考えていただきたい。
絶対数の少ない国内のフィッシングでは、一度に大量の偽サイトが開設されるケースや、大量のメールが数日間にわたってばら撒かれるケースが発生すると、フィッシングサイトの数や報告数が極端に増える。集計では、こうした攻撃手法による大きな変動を抑えるために、5日間(理由は後述)の間に発生した同一ブランドのフィッシングを、すべてまとめて1件とカウントしている(この集計方法では、異なる攻撃者が同時期に行った同じブランドのフィッシングも1件になるが、発生頻度が低いので重なることも少なく、影響はあまりないと考える)。このグラフが示す最近の大きな特徴は、コンスタントに続いていたポータルサイトのフィッシングが今年3月で終息したこと、および銀行のフィッシングが昨年8月から高頻度で続いていることの2点である。
図2は、図1の期間全体を、フィッシングに悪用されたブランドの種類の割合で表わしたもの、表1は悪用されたブランドの内訳(ユニーク数)である。最も頻度の高いポータルサイトが、2つのブランド(実際は大半が1ブランド)に集中しているのに対し、次点のオンラインバンキング(銀行)は10ブランドと、多数の銀行を標的にしていることがわかる。
図2 種類別フィッシングの発生頻度
出所:ネット上で公表されたフィッシング件数と内容を元に筆者が作成
表1 ユニークなブランド数の内訳
種別 ブランド数
ポータル 2
銀行 10
決済 2
ゲーム 3
ISP 4
交流 3
その他 4
図3は、フィッシングの標的となったブランド数を、さらに遡って年単位で集計したものである。このブランド数は、1年間を通じてのユニーク数で、約3年半の集計期間での「のべ数」は53種類、集計期間全体でのユニーク数は37種類だった。なお、過去には大手のブランドをかたって登録させようとする出会い系サイトが、たびたびフィッシングサイトとして話題になったが、それらはこの集計に含まれない。この図からは、フィッシングの標的にされるブランドが多様化し、昨年登場したオンラインバンキングを狙うフィッシングが、それに拍車をかけている様子が見てとれる。今年はまだ7月の途中までの集計でありながら、すでに昨年を上回る23種類ものブランドが悪用されている。
図3 悪用されたユニークなブランド数の推移
出所:ネット上で公表されたフィッシング件数と内容を元に筆者が作成
■フィッシングは短期決戦
国内のユーザーを標的としたフィッシングで狙われるのは、サービスを利用するためのアカウント情報(ユーザーID/パスワード)と、クレジットカード情報だ。代表的な手口は、不特定多数あるいは特定のサービスの利用者にメールを送り、アカウント情報の更新や本人確認などと称して、用意した偽サイトへと誘導する。誘導時には、サービスが利用できなくなるなどの不利益が生じると嘘を言ってユーザーを焦らせ、今すぐ処理させようとするのが常套手段だ。
フィッシングが「今すぐ処理させようとする」短期決戦になるのは、すぐにアクセスさせないと偽サイトが閉鎖されてしまうという攻撃者側の事情がある。フィッシングが始まり偽サイトの存在が人目に触れるようになると、それを阻止しようとする企業や機関、有志らが、ブラウザなどでのブロックやサイトの閉鎖活動に動く。国内ユーザーを標的としたフィッシングでは、偽サイトは当日から翌々日にかけて次々に消滅していく。週末をはさむと存続期間が伸びる傾向にあるが、それでも開始から3~4日のうちには、9割以上が閉鎖に追い込まれる。
閉鎖を逃れて偽サイトが生き残ったとしても、誘導される人はそれほど増えない。ある事例では、当日から翌日にかけてアクセスが集中し、3日目から4日目にかけて、大半の人が偽の手続きを終えた。それ以上待っていても、だまされて来る人はわずかしかいないので、フィッシングを仕掛ける側は、そのままサイトを放置するか、自主的に閉鎖するか、新たなフィシングメールを送付して仕切り直す。偽サイトの存続と被害者の訪問、どちら側からも、1回のフィッシングの有効期限はせいぜい4日程度なのである。
メールはその特性上、配送に遅延が生じることがあり、不達に終わることもある。また、相手がすぐに読むかどうかも分からない。このため、企業や組織は、すぐに手続きしなければいけない事柄についてメールで指示はしない。長期契約の有料サービスでは、メールで更新手続きのお知らせが送られてくることもあるが、このような場合の通知も、1~2か月前などの余裕を持って送られて来る。今すぐ手続きをしないといけないようなメールは、それだけでも怪しいということを常識としたい。
前述のブランドの種類別に、実際に行われたフィッシングの傾向と手口を見てみよう。
【1】ポータルサイト/ISPのフィッシング
さまざまなコンテンツやサービスをまとめたインターネットの入り口サイトを、ポータルサイトとして分類する。インターネットの接続サービスを提供しているISPもポータル(玄関)としてのサービスを提供しているところが多く、フィッシングの傾向も共通している。
攻撃者は、主にメールを使ってフィッシングサイトに誘導することが多い。狙われるのは、アカウント情報と有料サービス利用者のクレジットカード情報の両方だ。特徴として、不特定多数ではなく、そのサービスのユーザーだけにフィッシングメールが届くことが多い。メールの送信元をサービス提供者に偽装し、関係がある人にだけ送付されるこのようなフィッシングは、標的が絞られているだけに、だまされやすい。
アカウント情報を詐取するタイプは、主に海外からの攻撃で、アカウントの確認などと称して、偽のWebメールのログインページに誘導しようとする。メール本文に機械翻訳の変な日本語を使用していることが多く、いかにも怪しい内容だ。
クレジットカード情報を詐取するタイプは、複数の国内犯が活発に活動を続けていた。フィッシングでクレジットカード情報をだまし取り、それを使ってオンラインショッピングなどで商品を購入し、換金するという手口が、えんえんと繰り返されていたのだ。主要なグループはひととおり摘発され、実刑が下された(一部公判中)。今のところは終息しているが、潜伏中のフィッシャーや模倣犯の出現も考えられるので、引き続き警戒が必要だ。
これまでの主な手口は、本物の告知メールに似せた、まともな日本語のメールを送り、アカウント継続手続きなどと称して偽サイトに誘導していた。どのフィッシングも、誘導先の偽サイトは本物をコピーして改造したそれらしい体裁のものなので、だまされやすい。見分けるポイントは、大手のポータルサイトやISPの本物のサイトは、必ず「SSL」という暗号化通信で接続されるのに対し、偽サイトはSSLでは接続できないこと。SSL接続では、アドレスバーのURLが「https://」で始まり、横に南京錠のマークが表示される。大手ポータルサイトやISPでは、ログインページやユーザー情報の入力ページでは、必ずこの状態になることを覚えておこう。ちなみに、SSL接続のフィッシングサイトは、世界的には千件に数件の割合で出現するが、日本語のフィッシングサイトに限れば、過去4年間でゼロである。
ポータルサイトやISPでは、アカウント名がメールアドレスのユーザー名(@の左側)と同じというケースがよくある。このように連動している場合には、一方が漏れるともう一方も漏れたことになってしまう。ポータル内のサービスでのユーザー名露出は、迷惑メールが増える大きな原因のひとつであり、実際に表示されていたユーザー名を収集してフィッシングメールを送っていた例もある。サービスによっては、別名を設定することもできるので、これを積極的に利用するか、特に重要なアカウントについては、それに連動するメールアドレスも含めて露出しないように注意したい。
【2】オンラインバンキングのフィッシング
銀行を装うフィッシングでは、アカウント情報とクレジットカード情報の両方が狙われるが、ここでは、昨年から特に目立っている、アカウント情報をだまし取るタイプについて述べる。クレジットカード情報をだまし取るタイプについては、次の「決済」と同様なので、そちらを参照されたい。
オンラインバンキングのアカウント情報を狙うフィッシングでは、だまし取ったアカウント情報を使ってユーザーの預金口座に不正アクセスし、口座の預金を不正送金される被害が相次いでいる。フィッシングの手口には、メールを使って偽サイトに誘導するもののほかに、メールの添付ファイルを開いて入力するものや、メール本文自体が入力フォームになっているものも見つかっている。
オンラインバンキングのアカウントを狙うフィッシングは、これまでにも幾度となくあったが、昨年から続いているフィッシングでは、各行がセキュリティの向上のために導入した「乱数表」を丸ごと入力させようとするのが大きな特徴だ。
国内のオンラインバンキングでは、安全性を高めるために、現在は全てのシステムが取引時にログイン時とは別の認証を行うシステムを採用している。また、オンラインバンキングの37.4%は、パスワードがその都度変わる可変式のパスワードを、第二認証や第三認証として導入している。第二認証にも固定パスワードを使用している場合は、パスワードを盗み取るウイルスに感染すると、1回の取引で両方とも盗まれてしまうため効果が期待できないが、可変パスワードの場合には、そうは簡単にはいかず、より高い安全性が期待できる。
可変パスワードには、乱数表を使うタイプ(採用行は全体の17.0%)と、ドングルと呼ばれるパスワード生成器を使うタイプ(同3.8%)、メールを使ってパスワードを知らせるタイプ(同16.9%)がある。乱数表は、金融機関によって呼び名が異なるが、縦横のマス目に数字が書かれた小さな表のこと。取引などの際にはこれを使い、指定された場所の数字を入力する。乱数表の数字の並びはユーザーごとに異なり、入力指定される場所もその都度変わるため、この乱数表がなければログインしても重要な操作は何もできないという仕組みだ。
一連のフィッシングでは、この乱数表を採用する銀行を装い、不特定多数に対してフィッシングメールを送付する。セキュリティ強化のためとか確認のためなど称して、偽サイトに誘導する、添付ファイルを開かせるなどし、ログインに必要なアカウント情報と、乱数表の全ての数字を入力させようとする。無関係な人にも送られるため、効率は良くないが、たまたま自分が利用していた銀行とマッチしてしまったユーザーがだまされ、これまでに数十人が不正送金の被害を受けている。
国内のオンラインバンキングは、すべてSSLで接続される。金融機関によっては、送付したメールが本物であることを確認できるように、電子署名を付けていることもある。また、金融機関がメールでアカウント情報を問い合わるようなことはなく、乱数表の数字を全て入力するような場面もない。
【3】決済サービスのフィッシング
クレジットカード情報をだまし取ろうとするフィッシングでは、クレジットカード会社や金融機関、オンライン決済サービス、有料サービス、オンラインショップなど、クレジットカードに絡むさまざまなブランドが偽装される。
国内のユーザーを狙ったものでは、国際ブランドのクレジット会社を装ってフィッシングメールを送付し、システムのアップデートに伴うアカウント情報の更新と称して偽サイトへと誘導しようとする、海外からのフィッシングが度々行われている。偽サイトは日本語化されているが、メールが英文なので、だまされる人は少ないと思われる。そもそも日本国内では、各ブランドと提携しているカード発行会社が一切のサポートを行っているので、ブランド元が直接連絡して来るようなことはない。
金融機関などのカードの発行会社を偽装したものや、オンライン決済サービスをはじめとするカード情報を登録するタイプのサービスが偽装されると、信ぴょう性が上がり、自分が利用しているカードやサービスとマッチすると、引っかかってしまうかもしれない。国内のユーザーを狙ったフィッシングでは、これらも主にメールが使用され、英文や不自由な日本語のメールが届く。誘導先の偽サイトは、機械翻訳丸出しの変な日本語のものから本物をコピーした出来の良いものまで、さまざまだ。
留意したいのは、国際的に展開しているフィッシングの中には、日本語を含む多国語対応のものがある点と、それらフィッシングでは、交流サイトのメッセージで誘導するものがある点だ。国際的な交流サイトでは、英文のメッセージが届くこともあるので、ついクリックしてしまうかもしれない。海外のフィッシングサイトの中には、本物サイトをコピーして作った多国語対応のものがあり、少ないながらも日本語に対応しているものもある。ブラウザの言語を自動的に識別して表示を切り替えるので、日本語のブラウザでアクセスすると日本語で表示する。本物のサイトをコピーしているので、変な日本語訳ではなく、画面を見ただけでは本物と全く区別がつかない。クレジットカード情報を入力する際には、SSL接続であることと、URLが正しいことを必ず確認しよう。
【4】オンラインゲームのフィッシング
オンラインゲームのアカウント情報をだまし取ろうとするフィッシングは、これまでも度々発生している。アイテムなどを奪い取って転売するのが主な目的なので、RPG系のオンラインゲームが特によく狙われる。
昨年からは、それまでもっぱら海外のオンライゲームを標的にしていたグループが、国内のオンラインゲームのフィッシングに進出してきた。運営を装ったフィッシングメールを送り、本人確認のための認証などと称して偽サイトに誘導し、ログインさせようとする。偽サイトは、本物のサイトをコピーして、本物そっくりに作られている。
オンラインゲームのログインページは、必ずSSLで接続されるとは限らない。SSL対応のサイトでも、非対応のページからログインするようになっているところや、あちこちにID/パスワードの入力フォームが置かれ、ログインページが定まっていないところもある。状況は改善されつつあるが、ログインの際には、利用しているゲームの公式サイトを予めブラウザーに登録(ブックマーク)しておき、必ずそこからたどってログインするようにしよう。
オンラインゲームのフィッシングでは、メールで誘導するタイプのほかに、ゲーム内のメッセージ機能や掲示板などを使って誘導するものもある。また、ゲームを有利に進められるツールなどと称して、アカウントを抜き取るウイルス(トロイの木馬)をインストールさせようとするケースもあるので、これらも含めて注意してほしい。
【5】交流サイトのフィッシング
SNSなどの交流サイトでは、アカウント情報を狙ったフィッシングが行われる。だまし取ったアカウントを使って本人になりすまし、フィッシングサイトやウイルス感染サイトなどに誘導するメッセージを書き込む。交流サイトでは、こうした負の連鎖でフィッシングが繰り返されるほか、ブログや掲示板の書き込みから偽サイトに誘導するケースも見かける。
子どもたちに人気のアパターを使った交流サイトでは、アイテム欲しさに不正アクセスを行うケースがあとを絶たず、これまでに何人もの子どもたちが補導された。昨年は、本物そっくりのフィッシングサイトも大量に出現した。ブログや掲示板に、ゲーム内の仮想通貨が増えるなどと書き込んで誘導する手口で、子どもたちの間では、フィッシングサイトを作るためのキットまで流通していたほどだ。
交流サイトでは、仲間意識が強く知り合いも多いため、リンクをクリックしてしまいがちといわれる。たとえ旧知の間柄でも、なりすましの可能性があることを心得ておき、メッセージのリンクには注意してほしい。交流サイトに限らず、最近は長いURLを少ない文字数で表現した「短縮URL」が使われるため、リンクを見ただけではリンク先が判断できなくなっている。アクセス前に短縮URLを展開してくれるサービスや、プラグインを利用する手もある。危険なサイトのブロックなどを行うブラウザの機能や、セキュリティソフトを導入しておくことも大切だ。そして何よりも重要なのが、OSやアプリケーションの脆弱性対策をしっかり行っておくことだ。
【6】その他のフィッシング
国内のユーザーを狙ったその他のフィッシングでは、大学などのメールアカウントを狙ったものがいくつかある。前掲の「ポータルサイト/ISP」のアカウント情報を狙ったフィッシングと同様、大学などのドメインのユーザーあてに、それらしい送信元をよそおった英語や日本語のフィッシングメールが送られて来る。メールには、アカウントの確認などと称して偽サイトに誘導するタイプと、ID/パスワード等を記載して返信するタイプがあるが、このような手段で確認を求める大学や企業、機関は存在しない。
ポータルサイトやISPのアカウントもそうだが、メールアカウントをだまし取られると、迷惑メールの送信に悪用されるおそれがある。フィッシングなのかウイルスによるものかはわからないが、乗っ取られた国内のメールアカウントから、迷惑メールが大量に送信される事例も度々報告されている。大量のメールが送信されるとメールサーバーが高負荷になり、送受信の遅延や不能といった障害が発生する。また、迷惑メールの送信元としてブラックリストに載ってしまうと、送ったメールがあちこちでブロックされ、届かなくなってしまう事態も招く。乗っ取られたアカウントだけでなく、メールサーバーごと全ユーザーがブロックされてしまうこともあるので、ご注意いただきたい。
(執筆:現代フォーラム/鈴木)