「Anti-Phishing Working Group(APWG)の総会では,特定の相手を狙う“スピア・フィッシング”が一番の話題だった。スピア・フィッシングをシステムで防ぐことは難しい。ユーザー教育ぐらいしか有効な対策はない」。フィッシング対策協議会の情報収集・提供ワーキンググループの主査を務める,セキュアブレインの中田太マーケティングディレクターは12月20日,IT Proの取材に対して,11月8日から11日までカナダで開催されたAPWGの総会(General Meeting)の模様を紹介した。
APWGとはフィッシング対策の非営利団体(関連記事)。同会では年に2~3回,総会を開催している。APWGのメンバーは多岐にわたる。セキュリティ・ベンダーやクレジット・カード会社,セキュリティ組織,政府関係者など。総会ではメンバーによるプレゼンテーションやパネル・ディスカッションなどが実施された。
プレゼンテーションやパネル・ディスカッションでは,「スピア・フィッシングが話題にのぼることが多かった」(中田氏)。従来のフィッシングでは,不特定多数に偽メールを送る。それに対してスピア・フィッシングでは,特定の個人や企業/組織をターゲットにする(関連記事)。事前に何らかの方法で入手した情報をもとに,相手に合わせて文面や送信者名をカスタマイズする。
「例えば,ある企業の労働組合をかたるフィッシング・メールが組合員に対して送られたという報告があった」(中田氏)。メールを信用してリンクをクリックすると,偽の組合員サイトへ誘導される。従来のフィッシングでは相手が不特定多数であるため,大企業をかたるケースがほとんど。一方,スピア・フィッシングでは「大きな企業や組織とは限らない」(同氏)。同じ企業の別部署(例えばシステム部)をかたるケースもある。
捕まるのは末端だけ
APWGの総会には,米司法省や連邦捜査局(FBI)をはじめ,司法および政府機関の関係者が多数参加するという。「関係者によると,フィッシングを鋭意取り締まっているものの,捕まえられるのは偽サイトを運用している“末端”だけだという。背後にいる犯罪組織の実体をつかめないのが現状のようだ」(中田氏)。
フィッシングは国際犯罪。「米国の企業をかたる偽サイトがルーマニアのサーバーに置かれて,そのサイトを運用している人物はロシアにいる---といった具合に,国をまたがっているのが一般的。国際連携によって犯人をたどっていっても,偽サイトの運用者までたどり着くのが精一杯のようだ」(同氏)
フィッシングだけではない
APWGはその名前のとおり,フィッシング対策のための組織。だが,ネットの脅威の種類は年々増え続けている。このためAPWGでは,「フィッシング以外のネット詐欺(架空請求やワンクリック詐欺など)やクライムウエア(犯罪目的の悪質なプログラム),ボットなどへも活動を広げている」(中田氏)。
現在APWGで力を入れようとしているのは,クライムウエアなどに関するデータベースの構築であるという。「ボットに感染した“ゾンビ”パソコンをトラッキングするシステムを構築したいという声もある」(同氏)
