なぜ企業にフィッシング対策が必要なのか

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

なぜ企業にフィッシング対策が必要なのか

2010/11/02


 ユーザを「偽サイト」に誘い、個人情報を入力させて詐取するのが「フィッシング」。被害者に成りすましてさまざまな悪事をはたらこうと、あの手この手の騙しのテクニックを駆使して個人情報を奪おうとする。今回は、有名なサイトの名前を騙って、その顧客から個人情報を詐取しようとしたケースをカギに、典型的なフィッシングの手口と分業によって複雑化した最近の攻撃傾向について紹介していく。フィッシングへの効果的な対策は、次回の統計データ編で被害実態の統計情報とともに紹介する予定だ。

フィッシング詐欺

#022

突然自社のWebサイトのにせものが出現!対応に大わらわ

 「御社からのメールでクレジットカード情報の再入力が求められているが、なんのため?」……ある日突然、そんな主旨の電話やメールが、クレジットカード会社のA社にいくつも寄せられ始めた。A社には何も心当たりはない。関係部署に確認をとっている間に、問い合わせの数が増えていった。そのうちにA社のメールアドレスを送信元とするメールの本体を知らせてくれるメールも届いた。
そこにはこのような文面があった。

メールタイトル:「会員の皆さまへ。重要なお願い」
本文:「弊社クレジットカード友の会のご利用ありがとうございます。今回、ユーザ認証システムの更改にともない、セキュリティを強化すべく、従来のアカウントは○月△日までに停止します。つきましてはお手数ですが、再度ユーザ認証登録をお願いします」


 A社では、クレジットカードユーザに向けて「友の会」を作り、希望ユーザが会員登録を行えばWebで特待サービス情報をもらったり、割安なオンラインショッピングができたりするサイトを運営していた。そのサイトからの案内メールと、この「重要なお願い」メールは瓜二つだった。
 メールはHTML形式で、A社のロゴが然るべきところにレイアウトされていた。会社名や住所などはもちろん、メールの挨拶文や注記に至るまで、いつものA社の案内メールそのままにできている。
 しかし、A社はそのタイトルと本文にまったく覚えがない。そのメールの下部には「クリックして更新」という文字のバナーがあった。これも初めて見るものだ。
 ユーザからの指摘によると、そのバナーをクリックするとブラウザが開き、新旧のログインIDとパスワード、住所、氏名、生年月日、メールアドレス、クレジットカード番号、カード確認番号、有効期限、暗証番号、引き落とし銀行名、その他の情報を入力するページが表示されるという。
 「当社の名を騙るフィッシングだ!」。そう気がついたA社は、情報システム部門に対策にあたらせた。確認作業が行われた結果、多数のユーザに同じタイトル、同じ内容のメールが一斉に送られていた。送信元アドレスはA社のものに偽装されていた。「クリックして更新」バナーのリンク先は、まったく知られていないサイトであり、ブラウザに備わっているフィッシング防止機能やメールの監視をしているセキュリティ製品のフィッシング対策機能(ブラックリストで運用)では現時点で止めることができないものだった。
 A社がフィッシングサイトのIPアドレスブロックを調べたところ、それは海外のISPのものだった。A社は自力でフィッシングサイト閉鎖を要請するのは難しいと判断、フィッシングサイト閉鎖サービスを提供しているセキュリティ専門会社に連絡し、早急に閉鎖要請を行うようにした。
 同時に、すべてのカードユーザに対して注意喚起のメールを送付し、Webサイトのトップページに警告を掲載した。フィッシングサイトと偽装メールが横行している事実を知らせ、騙されるユーザを減らすとともに、すでにフィッシングサイトに情報を入力してしまったユーザから連絡をもらうためだ。
 情報を入力してしまったユーザがわかり次第、そのカードアカウントは停止した。さらに、JPCERT/CCにインシデント報告を行うとともに、警察のサイバー犯罪相談窓口にも報告を行い、被害が拡大しないように協力を要請した。また、セキュリティベンダにもフィッシングサイトのブラックリスト登録のために連絡を行った。

 それから間もなく、フィッシングサイト閉鎖サービス業者の要請が功を奏し、フィッシングサイトは閉鎖された。その結果、会員の金銭上の被害は確認されないまま、この騒動は収まることになった。しかし、業者の緊急対策に費用を要し、また情報システム部門やユーザサポート窓口を中心に、多くの自社スタッフが対応・対策に忙殺されることになった。そのコストを合計すると膨大なものになる。 にも関わらず、フィッシングサイトを作り誘導メールをばらまいた犯人は特定されず、いつまたフィッシングサイトが再開するかわからない状況だ。A社は対策にあたった業者のフィッシングサイト24時間監視サービスを契約することにした。今後はより早い段階で対応できるようにするためだ。

(ケースファイルは実際の事例をもとにキーマンズネット作成)




1

フィッシングの典型的な手口とは

1-1

フィッシング詐欺の現状

■フィッシング詐欺の3通りの被害者

 フィッシングの被害者には3通りがある。1つはフィッシングにより個人情報を詐取されてしまうエンドユーザ、もう1つはケースファイルの例のように、偽メールや偽サイトに名前を使われてしまう企業、さらに1つは、フィッシングサイトが設置されるサーバの管理者、管理企業だ。次回、それぞれの立場でどのような対策をとればよいかを紹介する。今回は、フィッシングの手口を確認しておこう。

■偽装されるのはお金に関係するサイト

 フィッシング目的のにせサイトは、クレジットカード会社、オンラインバンキングを行う金融機関、ネットオークションサイト、オンラインゲームサイトなどが多い。攻撃者が狙うのは、ネットでの買い物ができたり資金を移動できたりするアカウント情報だ。ケースファイルにあるように、ログインID/パスワード、住所、氏名、生年月日、メールアドレス、クレジットカード番号、カード確認番号、有効期限、暗証番号、取引銀行の情報などだ。
 実際にカード情報を悪用して、被害者になりすましてネットショップから品物を購入して転売したり、銀行口座情報を悪用して、オンラインバンキングに不正にログインして自分の口座に預金を移すといった犯罪が行われている。また、アンダーグラウンドマーケットでは個人のさまざまな情報がひと揃いになって、ある程度の件数がまとまればそれなりの値が付く。自分で現金を引き出す手間をかけずに、それを売るだけで稼ぐこともできる。

■国内でフィッシング詐欺での逮捕者が続出

 国内では2005年にフィッシングで最初の逮捕者が出ている。これは「Yahoo! JAPAN」のトップページに似せたサイトを開設した事件で、著作権法違反に問われた。その翌年にはフィッシングサイトを開設して、ヤフーオークションへのログイン情報を詐取し、オークション商品を落札して取得した容疑で逮捕者が出た。これは不正アクセス禁止法違反および詐欺の容疑だ。以降、特にオークションサイトの関連で毎年逮捕者が出ている。また、2008年には複数のオンラインバンキングサービスが狙われ、約半年で21人から総額約1300万円を詐取した事件が明るみに出た。さらに今年1月には、5人組の犯人が都内や近郊のネットカフェからにせメールを140万人に送り、ヤフーのにせサイトを利用して2700人分のクレジットカード番号を詐取して、商品を購入して転売する事件が起きた。被害件数は約370件、被害金額は3500万円以上、最終的には1億円を超えるのではないかとの報道があった。昨年にはヤフーを騙るフィッシングサイトは数十〜百を超える数があったとの推測もある。

■国内でも多い海外サイトを利用したフィッシング

 フィッシングサイトは国内、海外を問わず多くが生まれては消えている。日本でも、英語で書かれた誘導メールによって、海外の英語のフィッシングサイトに引き込もうとするケースが多い。VISAやMaster Cardなどのアカウントの入力を求めるフィッシングは、現在でも多いようだ。
 しかし海外からの攻撃であってもメールの文面は日本語、誘導されるサイトも日本語である場合もある。以前は自動翻訳を使ったと思われる「おかしな日本語」が使われる場合が多かったが、現在ではまったく違和感のない文章のものがある。

セキュリティ情報局にご登録頂いた方限定で「なぜ企業にフィッシング対策が必要なのか」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

フィッシング詐欺/なぜ企業にフィッシング対策が必要なのか」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「フィッシング詐欺」関連情報をランダムに表示しています。

フィッシング詐欺」関連の製品

CLEARSWIFT SECURE Email Gateway 【日立ソリューションズ】
メールセキュリティ
送信メールの本文や添付ファイルの内容から機密情報の有無をチェック。
ウイルス、スパム、暗号化といったメールセキュリティに関する機能もまとめて提供。

フィッシング詐欺」関連の特集


ついにキャッシュカードにまで!ID不正利用事件が相次ぐイマだからこそ、求められる「ワンタイムパスワー…



これぞサイバー振り込め詐欺!?もっともらしい表示で人の心理のスキを突く悪質な手口と、その対策を徹底解…



Webサイトを閲覧したら知らぬ間にウイルスに感染していた…。そんな困ったケースが増加中!従業員と社内…


フィッシング詐欺」関連のセミナー

【Proofpoint】触って実践・体験セミナー 【NRIセキュアテクノロジーズ】  

開催日 12月22日(木)   開催地 愛知県   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

【Proofpoint】触って実践・体験セミナー 【NRIセキュアテクノロジーズ】  

開催日 12月14日(水),1月11日(水),1月26日(木),2月7日(火),2月22日(水)   開催地 東京都   参加費 無料

特定の企業や組織を狙って、マルウェアやフィッシングメールを送りつける標的型攻撃や、身代金を要求するランサムウエアが急増するなか、その入り口となるメールセキュリテ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30003849


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ