Symantec Security Response Weblog
The Rise of Low-Tech Attacks」より
May 22,2009 Posted by Zulfikar Ramzan

 オンライン犯罪を実行する場合,比較的高度な技術を使うことが多いが,その一方で極めて単純な攻撃もよく見かける。好例はフィッシング攻撃である。実行に必要な技術レベルという点で見ると,フィッシングはいろいろな意味で最も程度の低い攻撃だ。事実,出来合いのフィッシング攻撃キットがアンダーグラウンド市場で買えるし(ただし,買う際には用心が必要だ),フィッシング攻撃の各種作業を代行する業者も存在する。

 フィッシング攻撃は,主に銀行やその他金融サービス会社のWebサイトを標的にしている。これは意外でも何でもない。フィッシングは金銭目当ての犯罪であり,フィッシング犯の手口を知るには金儲けを意識するだけでよい。ところが1年半ほどの間に,フィッシング犯に狙われるソーシャル・ネットワーキング・サービス(SNS)サイトの例が増える,という興味深い傾向に気付いた。

 SNSサイトは,時としてフィッシング犯に金融サービス系サイトよりも大きなメリットをもたらす。理由の一つとして,フィッシング犯がソーシャル・ネットワーク用コンテンツを攻撃に役立つツールと認めるようになったことが挙げられる。例えば,先ごろある人気SNSサイトが一連の攻撃の被害に遭った。この時フィッシング犯は,攻撃に成功したユーザー・アカウントを,そのユーザーの友人ユーザーを狙うための「発射台」として使ったのだ。

 この攻撃は,新たなアカウントの奪取に成功する都度繰り返し実行された。攻撃は次のように行われる。狙われたユーザーは,「友人」を名乗るユーザーからメッセージを受け取る。こうしたメッセージは目に付きやすいし,友人からのメッセージだと思っているので,そこに書かれている「クリックして」とか「ログインして」といった指示につい従ってしまう。ところが指示通り操作すると,知らない間に重要な情報を詐欺師へ渡してしまったり,こっそりとパソコンに悪質なソフトウエアを送り込まれたりする。こうしたソフトウエアは,パソコンから情報を盗んだり,スパム・メール送信など悪事にパソコンを利用したりする。最終的に,被害者が利用しているWebサイトのパスワードが一つサイバー犯罪者の手に渡ると,同じパスワードを登録しているほかのサイトにも不正ログインされてしまう。

 この種の攻撃は昔からある。我々が「ソーシャル」機能を手玉に取るフィッシング攻撃の存在を確認したのは,2006年の初めのことだ。ただしその当時は,攻撃用ソーシャル・メディアとしてインスタント・メッセンジャーが使われていた。攻撃の手口は最近のSNSでも以前と大差ないが,目新しい攻撃も時折見かける。ただし,SNS向け攻撃だからといって技術的に高度かというと,そうとも限らない。例えば,人気のあるブログ・サイトに掲載される「名前ゲーム」という手口がある。ゲームをすると,個人的な情報の入力を求められる(子供時代に住んでいた場所の住所や,母親の旧姓など)。するとこのゲームは,入力情報に基づいた新たな「名前」を作ってくれる。見た目は遊びに過ぎないが,実はゲーム運営者がプレーヤから金になる情報を集めようとしている。このゲームで集めた情報は,合法的なWebサイトでユーザー認証強化策やパスワードを忘れた場合のパスワード変更手段として利用されることがよくある。

 こういった攻撃は,SNSサイトやブログ・サイト以外でも使われる。インターネットで大切な情報を渡す場合は,十分注意しよう。友人からの頼みや単なる名前ゲームだと思っても,注意が必要だ。インターネット時代において,我々がオンラインでさらす姿は自分自身のさ様々な属性の集合体である。誰かに自分の身元を証明してみせる場合は,本人しか知らないはずの情報を尋ねた質問に答えることが多い。当然ながら,現代ではこの方法はうまく機能しない可能性がある。個人情報の一部を誰かに渡すということは,詐欺師がオンラインで(文字通りあらゆる目的で)その人になりすませるということだ。

 そこで以下の注意点を挙げておく。自分の情報を提供する場合は,常に警戒していよう。情報を渡しても害にならないと考えても,思いも寄らない影響を受けるかもしれない。友人から情報を求められたとしても,その友人が既に被害者になっていることもあり得る。

 サイバー犯罪活動は,銀行以外も標的にする。そして,高度な技術よりもはるかに優れた心理作戦を採用することがある。

Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「The Rise of Low-Tech Attacks」でお読みいただけます。