フィッシングとは？ 進化するフィッシングサイト

そもそも「フィッシング」とは何だろうか。詳細はキーワード事典「フィッシング」を参考にしてもらいたいが、フィッシング対策の活動を行っているフィッシング対策協議会では、「金融機関などを装ったメールによって住所・氏名、口座番号、クレジットカード番号、暗証番号などを詐取する行為」であると説明している。

騙し取るための入り口になるのが「フィッシングサイト」であり、手口としては、「メールのリンクから偽サイト（フィッシングサイト）に誘導して情報を入力させる」ことが代表例といえよう。

主に金融機関が狙われているが、フィッシングの標的になるサイトは実はさまざまだ。オンラインバンキングを提供する銀行をはじめとした金融機関、クレジットカード会社のほか、オンラインゲーム、SNSを偽装したサイトが多い。

フィッシング自体は個人情報やアカウント情報などを詐取するものであるが、攻撃者の最終的な目的は金銭を得ることである。そのため多くは、盗んだカード番号や暗証番号などを使える金融機関を偽装するが、アイテムを現実世界で売買する「リアルマネートレード（RMT）（原則アイテムの売買は運営会社によってほとんどが禁止されている）」などが行われているオンラインゲームも、しばしば狙われている。

進化するフィッシング、ますます見分けが困難に

以前は、日本国内で発見されるフィッシングメールやフィッシングサイトは、日本語による文章が不自然だったり、ページのデザインに違和感があるなど作りが稚拙で、すぐに偽物とわかるものが多かった。ところが、近年は正規のページと見分けのつかないフィッシングサイトも珍しくない。フィッシングメールも、部署名や担当者の名前が実在するなど、正規のお知らせメールと区別が付かないものが増えている。

フィッシングの動向－増減を繰り返しつつ、一向に収まらない状況

フィッシング対策協議会「フィッシングレポート2014」によれば、フィッシングサイトの数は、日本において年々増加傾向を示しており、2013年度に確認されたフィッシングサイトの件数は2500件あまりとなっている。年度ごとのフィッシングサイトの増加率は10％程度だが、2013年はフィッシングの届け出件数が前年度の17倍以上と急増した。

2013年は、金融機関向けの攻撃が急増した年でもあり、警察庁の発表によると、インターネットバンキングへの攻撃による被害額が2012年に4800万円だったものが、2013年には14億600万円と29倍にも拡大している。これは不正送金マルウェアによる影響が大きいが、フィッシングの届け出件数も金融機関への攻撃に連動して急増していることは注目に値する。

そして2014年に入ってから、フィッシングはさらなる増加が報告されている。1月には4000件以上の報告が寄せられ、2月も3000件弱、3月に再び4000件以上と従来にないレベルに達している。その後やや落ち着きを見せるものの、6月には再び4000件を越えるなど増減を繰り返しており、予断を許さない状況だ。巷では不正送金マルウェアに注目が集まりがちだが、引き続きフィッシングに注意しなければならない状況に変わりない。

対策はメールと接続先のURLのチェックを怠らないこと

進化するフィッシングだが、防御や対策について整理しておこう。フィッシングに限らないが、まず自分から依頼していないメールの添付ファイルに注意することだ。知り合いからのメールだとしても、名前や会社名を詐称している場合もある。メジャーなECサイトやサービスプロバイダーからのメールも詐称しやすいので注意が必要だ。

「アカウントを停止します」「サービスをアップデートします」「利用料の返金があります」といった内容のメールは、送信元のアドレス、できればヘッダ情報などを確認したい。大きな事件が報道されたあとも、フィッシングには要注意だ。ベネッセコーポレーションで発生した顧客名簿漏洩事件に関連し、「漏洩したデータを削除します」という内容の攻撃メールが確認されている。

フィッシングサイトはURLが正規のものと異なる（似せたドメイン名やURLを使うが勝手に立てるサイトであるため正規のURLにはならない）といった特徴は今も昔も変わっていない。ただし、HTMLメールを利用してメール文面上では正しいURLに偽装していることも多々あるので注意したい。またWebサイトへ誘導するのではなく、添付ファイルのフォームから情報を入力させる手口があることもある。

パスワード変更や個人情報の入力を促すメールを受け取ったら、メール内のリンクをクリックするのではなく、正規サイトに検索エンジンやURLの直接入力によってアクセスし、そこからパスワード変更画面を探すようにするのも被害に遭わないポイントだ（オレオレ詐欺で、電話を一度切ってかけなおす対応と同じ）。

次に接続先となるサイトの注意点だ。まずデザインやロゴ、画面の作りがオリジナルのサイトのものかどうかを確認する。とはいえ、近年のフィッシングサイトは、本物と見分けのつかないことが当たり前なので、同時にURLが正規のものかを確認することがポイントとなる。しかし、会社名と同じ文字列が入っているからといって、安心してはならない。URL全体を見るとサブドメインの一部だったりすることがあるためだ。

そこでさらにチェックしたいのは、「正規のSSL証明書で暗号化通信が行われているか」だ。パスワード入力画面、個人情報を入力する画面、送金処理を行う画面で、正規のSSL証明書で暗号化されていない場合はデータを入力してはいけない。金融機関などは、ログイン画面以降、より安全なEV SSLの採用も進んでいる。

また「乱数表をすべて入力させる」「第二暗証番号や秘密のパスワードをすべて入力させる」といった不自然なリクエストには要注意だ。これはフィッシング、不正送金マルウェア、双方にあてはまるチェックポイントといえる。

セキュリティ対策ソフトには、フィッシングサイトをはじめ、不正サイトへの接続を検出し、遮断する機能を備えているものもある。ぜひ活用したい。

企業のメールアカウントもフィッシングで狙われる

企業のアカウントもフィッシングの狙い目となっている。というのも、企業や団体が採用するクラウドメールサービスなどが、狙われているとの報告もあり、実際にアカウントを乗っ取られる被害が発生しているのだ。

一般消費者に対する攻撃の目的は「金銭」だが、企業向けの攻撃で狙われているのは「メールアカウント」だ。企業や団体のメールアカウントを利用すれば、迷惑メールフィルタといったスパム対策をすり抜けられる可能性が高まる。そして取得したメールアカウントを悪用して、さらなるフィッシング攻撃やマルウェアの感染活動、詐欺、標的型攻撃など、さまざまな悪意を持ったメールを送信するいわゆる「踏み台」として、大いに活用できるというわけだ。

そのため、企業の担当者は、組織で利用しているクラウドサービスなどのアカウント情報を奪われないよう、しっかりと従業員教育をしておかなければならない。役員のアカウントなどが奪われれば、場合によっては標的型攻撃などへ悪用されてしまう可能性すらあるだろう。

フィッシングといえば、一般消費者が狙われると思いがちだが、「法人もターゲットにされている」ということをしっかり意識しておく必要がある。

サイトを運営する企業側の対策

企業であれば、Webサイトを提供する立場にあることも多いだろう。自社の偽サイトを構築されても利用者が騙されないように対策を講じる必要がある。

まずは、アカウント情報や個人情報を入力する画面に、最低限、正規の認証局が発行したSSL証明書による暗号化通信（HTTPS）に対応しておくこと。口座情報や支払処理などをするサイトであれば、運営者の実在証明を行う「EV SSL証明書」を検討するとよいだろう。

また自社のフィッシングサイトを発見、確認した場合は、Webサイト上のお知らせやメールなどを使って速やかにユーザーや顧客に通知する。

フィッシングサイトを立てられてしまうのは、自社のセキュリティ対策に問題があったわけではない。しかし、イメージなどを気にして放置し、周知などを行わないと、逆に企業としてリテラシーが低いとみなされてしまうので気を付けたい。

フィッシングサイトを発見しサイトを閉鎖させたい場合は、フィッシング対策協議会、JPCERT/CCといった機関に連絡する。フィッシングであることが確認できれば、サイト閉鎖のため、管理しているプロバイダーとの調整を依頼できる。これらの機関は海外の同様な組織・機関とも連携しているため、サーバーが海外にあってもサイトの閉鎖が可能なこともある。

ESET製品のフィッシング対応能力は？

2013年7月にオーストリアの独立系テスト機関AV-Comparativesが実施したアンチフィッシングテストにおいて、ESET Smart Security V6.0は16製品中最高の成績を記録し、「Advanced+」の評価を獲得した。その後もESET製品はバージョンアップのたびにフィッシング対策機能を強化し続けている。ESETの国内販売代理店である、キヤノンITソリューションズ株式会社はフィッシング対策協議会と協力するなど、国内ユーザー向けの対策にも力を入れている。