真下 竜実 NRIセキュアテクノロジーズ情報セキュリティ事業部長
小田島 潤 NRIセキュアテクノロジーズ情報セキュリティ事業部 上級セキュリティエンジニア
フィッシング(phishing)は,特定企業の名前をかたって顧客から個人情報を奪い,その情報を利用して金銭・商品などをだまし取る行為です。主に一般消費者を狙ったものですが,顧客が受けた損害の補てんや信用度の低下などを通じて,被害は企業にも及びます。
フィッシングは,あらかじめ用意しておいた偽のWebサイトにメールを使って顧客を誘導し,正規のWebサイトで使うべきIDやパスワードなどの情報を奪い取る行為です(図1)。だまされた顧客は金銭的被害やプライバシーの漏えいといった被害に遭いますが,名前をかたられた企業もブランド・イメージや信頼が低下するというダメージを受けます。正規のサイトと酷似したドメイン名を使うといった手口を使いますが,最近はJavaスクリプトなどを悪用して,ブラウザのURL表示部に正規のサイトのURLを重ねて表示させるようなケースもあり,予断を許しません。
偽サイトにアクセスさせないことが重要
企業が採るべき対策は,(1)社員が被害に遭わないようにする対策,(2)顧客が被害に遭わないようにする対策――の二つに大別できるでしょう(図2)。社員がフィッシングに遭わないようにするためには,メールの送信元をうのみにしてしまうような機会を減らしたり,疑わしいメールの本文中に記述されたリンクからWebサイトにアクセスさせないことが重要です。これを実現するシステムとしては,フィッシング・メールを受け取らないようにする迷惑メール対策システムや,偽サイトへのアクセスを遮断するURLフィルタリングなどが挙げられます。
しかしフィッシングは次々と新顔が発見されるため,これらのシステムを導入しても完全な対策とはなりません。最も重要な対策は,社員にフィッシングの脅威をきちんと理解してもらうという教育や啓もう活動です。
会員サイト運用企業は顧客の保護策を
会員制のWebサイトを運営し,多くの会員を抱える企業では,顧客をフィッシングから保護する施策が不可欠です。やはり偽のWebサイトにアクセスさせないことが重要です。フィッシングの脅威への理解を高めるなど顧客側の対応に期待しなければならない部分もありますが,それ以外に打てる対策もあります。
人手でできる対策としては,会報メールの送受信方法や会員向けサイトの構成を見直すことなどが挙げられます。最近はSSLのサーバー証明書と同レベルの実在性確認をした上で発行されるS/MIME 署名用証明書も入手可能です。会報メールに必ずS/MIMEのデジタル署名を付けて,正当なS/MIME署名のないメールは信用しないよう,顧客に周知徹底を図ることを検討してもよいでしょう。また,いま自分がアクセスしているURLを顧客が確認しやすいように,会員向けサイトは常にアドレス・バーを表示させておくべきです。
フィッシング・メールの流通や偽Webサイトの存在を監視することで,早めに情報をつかむことも重要です。企業のブランドやロゴマークといった著作物のインターネット上においての不正利用を発見するサービスを提供するプロバイダを活用してもよいでしょう。企業ロゴの不正使用を監視することで,フィッシング目的の偽サイトを発見することが可能です。
なりすまし防止のため強固な認証を
しかし,フィッシング対策として最も有効な手段は,顧客とWebサイトで実施する「認証」を強化することです。強固な認証の必要性は,フィッシングが登場する以前から指摘されていました。しかしインターネットを使った商取引が普及・拡大することに伴って顧客の利便性を重視した結果,IDとパスワードを使った認証が多くを占めるようになっています。
認証においては,「本人しか知り得ない知識や情報」,「トークンなど本人しか持ち得ないもの」,「指紋や静脈などの生体識別情報」のうち二つ以上を使うことが重要だといわれます。インターネット・バンキングで一般的な「ID/パスワードと乱数表」の併用がその一例です。ところが最近の米国では,偽Webサイトで入力した「乱数表」の回答をそのまま本物のWebサイトに転送することで認証をクリアするような手口も報告されているようです。
そのような手法に対しても効果を発揮するのが,PKI(公開鍵認証基盤)に基づく認証システムです。PKIは顧客に一定の技術的知識が必要となる上に導入と運用のコストが高いため,期待されていたほどは普及していません。しかし,フィッシングによる「なりすまし」の脅威が顕在化した今では,なりすまされた場合の損失額と,導入コストや利便性とのトレードオフを再考する時期に来ていると言えます。
