フィッシング攻撃1万5000件を突破－RSAにフィッシング詐欺の現状を聞く

　「フィッシング詐欺は、ますます高度化している。そして、オンライン犯罪のビジネスモデル化、分業化が進んでいる」―RSAセキュリティ マーケティング統括本部マーケティングマネージャーの岩尾健一氏は、フィッシング詐欺の現状について、こう切り出す。果たして、フィッシング詐欺の現状はどうなっているのか。RSAセキュリティに、最新のフィッシング詐欺をはじめとするオンライン犯罪の状況などについて聞いた。

　まず最初に岩尾氏が指摘するのが、フィッシング詐欺が明らかに増加しているという点だ。

　「RSA AFCC（オンライン不正対策指令センター）による観測では、今年4月には、その月に発見されたフィッシングサイトの数が1万5000件に達し、調査を開始して以降、過去最高を記録した」と語る。

　その背景には、FastFluxの増加と、Rock Phishによる攻撃があるという。

　FastFluxとは、偽のドメインネームを使用し、あちこちにフィシングサイトを乱立させるもの。しかも、頻繁にIPアドレスを変更し、追跡や対策が困難という特徴を持っている。

　一方、Rock Phishとは、閉鎖的な犯罪集団といわれ、金融機関を対象に活動。世界のフィッシング攻撃の50％以上を占めるとも推測されている。攻撃を仕掛けるためのツールは、すべて自社が開発してきたという点も特筆すべきものだ。

　これらの増加を裏付けるように、フィッシング攻撃のホスティングの国別分布では、FastFluxおよびRock Phishのホスティングに利用されることが多い中国が第2位を占めているほか、第9位には、FastFluxのドメイン「.tk」に利用されているニュージーランド領のトケラウが入っている。

　ホスティング国分布と、フィッシング攻撃を受ける国の順番とが大きく異なっているのも特徴だ。

フィッシング攻撃数の推移	フィッシング攻撃のホスティング国分布

　一方、フィッシング詐欺の増加のなかで特筆できるのは、日本の企業を対象とした事件が増加傾向にあることだ。

　今年に入ってからも、ゆうちょ銀行、mixi、イーバンク、NTTドコモ、シティバンクなどがフィッシング詐欺の被害にあっているのだ。

　mixiのフィッシングの場合、直接的な金銭的被害には至らないものの、mixiユーザーのIDやパスワードを盗み、そのアドレスから知り合いを装ってメールを第三者に送信。そこから他のフィッシングサイトに誘導して、キャッショカードのパスワードなどを盗むといった間接的な被害の可能性が想定される。ここにもオンライン犯罪が複雑化していることが見え隠れする。

　また、世界的に見ても、これまではフィッシングを仕掛ける対象が大手企業が中心となっていたものが、中小規模の企業を狙うケースが増えている点が見逃せない。

　「米国の金融機関を例にとると、かつては過半数以上が大手銀行だったが、今年4月の調査では、フィッシングの対象となった大手銀行の比率はわずか28％にとどまり、米国地方銀行が36％、また米国信用組合が同じく36％を占めている。セキュリティ対策が大手金融機関に比べて遅れている中小金融機関が狙われているともいえ、今後、この傾向が進展する可能性が高い」と予測する。

　さらに、「一度狙われた企業は、また狙われる可能性が高いというのも、オンライン犯罪の特徴。しっかりとした対策を取ることが必要である」と岩尾氏は警告する。

　一方、オンライン犯罪の仕組みが変化していることも、大きな動きだ。

　オンライン犯罪は、個人がひとりで行うのではなく、いまや、組織化、分業化され、ビジネスモデルといえるものが確立しているというのだ。

　「個人のリスクを下げるという観点からも、分業化が進展しているようだ」と、岩尾氏は見る。

　電子メールリストなどを収集する組織、フィッシングのためのツールや、トロイの木馬などのウイルスを作成する組織、実際にサイトを設置してフィッシング詐欺を行う組織、ここで得たデータを買い取る組織、データを使って不正に現金を引き出す組織といった具合に分割されているのだ。もちろん、組織ではなく、個人同士で行うという例も少なくない。

　これらの組織や個人が、アンダーグラウンドで情報と金銭をやりとりし、フィッシング詐欺を増加させているのだという。

　「なかには、フィッシング詐欺を行うための感染ツールやサーバー、画面作成ソフト、管理までをオールインワン型で提供するという動きが出ている。簡易なものであれば数百ドル程度で売買されている」とも指摘する。

　こうしたことも、フィッシング詐欺を増幅させる温床となっている。

　岩尾氏がもうひとつ指摘するのが、ユーザー自身のフィッシング詐欺に対する警戒感の低さだ。

　それを今後も影響力が大きくなるとされる、トロイの木馬であるZeusを例に説明する。

　Zeusは、Limboの亜種のひとつで、主に金融機関を狙ったフィッシングなどに使われる。

　PCの脆弱性を突かれて、ユーザーがZeusに感染すると、そこから正規のサイトも改ざんされるといったことが起こるからだ。

　Zeusには、HTMLインジェクションという機能があり、勝手に正規サイトを書き換えて、パスワードや暗証番号を求める項目を作ってしまうのだ。正規サイトだからという安心感から、求められたままにキャッシュカードのIDや暗証番号などを安易に入力してしまうというわけだ。

　さらに、Rock Phishを利用した二重攻撃というのもある。先にも触れたように、Rock Phishは自らツールを開発していたが、RSA AFCCの観測では、Rock PhishがZeusを入手して攻撃するという動きが新たに見られたという。

　すでに入手した電子メールアドレスを使い、正式メールの形でフィッシングサイトに誘導しておいて、そこでIDやパスワードを入力しなくても、その時点で、ZeusがすでにクライアントPCに感染。利用者が、正式サイトにいったときに、IDやパスワードを入力した時点で情報を得てしまうというものだ。

　ユーザーのなかには、ウイルス対策ソフトを導入していれば安心という気持ちもあるだろう。だが、Zeusには、ウイルス対策ソフトの検出防止機能も備えているから、完全に安心とは言い切れないという状況にある。

　このように、フィッシング詐欺の仕組みは、ツールが進化するとともに、仕組みがさらに複雑化、巧妙化しているのだ。

　RSAセキュリティでは、こうしたフィッシング詐欺の高度化、複雑化に対応するために、RSA FraudActionと呼ばれる対策ソリューションの提供を行っている。

　4年前から同社がサービスを開始しているRSA FraudActionでは、すでに185カ国で8万サイト以上をシャットダウンさせた実績を持つという。しかも、60％を5時間以内に、80％は10時間以内にシャットダウンすることに成功しているというのだ。

　「根源へのアクセスを絶つのではなく、フィッシングの根源そのものを絶つという点が、このサービスの特徴であり、グローバルな連携、おとり情報による追跡など、独自のノウハウによって、シャットダウンさせている。日本の企業のフィッシング詐欺が増加しているが、日本にホスティングさせるケースはまれ。時差、言語を超えた対応が求められ、しかも、世界中のプロバイダーの協力を得るといったように、全世界を結んだネットワークによって解決する必要がある。この点では、ユーザー自身での解決には限界があるともいえ、アウトソーシングするのが最適だと考えている」とする。

　日本でも、みずほ銀行、三井住友銀行、りそな銀行などの都市銀行のほか、ジャパンネット銀行、新生銀行、京都銀行などの金融機関、野村證券、JCB、ゆうちょ銀行が、RSA FraudActionを採用。全世界で250社以上が利用しているという。

　「これまでは金融機関での採用が中心だったが、今後は、金融機関以外のところにもフィッシング被害が増加する可能性がある。当社としても、非金融機関に対するサービス提供を拡大していくことも前向きに考えていきたい」とする。

　フィッシング詐欺の進化にあわせて、守る側の対策も高める必要があるといえよう。