メールなどでユーザーを偽のサイトに誘導し,個人情報などを入力させて盗む「フィッシング詐欺」が後を絶たない。フィッシングを試みる攻撃者(フィッシャー)の手口が巧妙であることが理由の一つであるが,それ以外にも理由があるのではないだろうか。本稿では,その理由について考えてみた。

偽メールの基本戦略

 フィッシング詐欺の多くでは,ユーザーを2回だます必要がある。まずは偽メールでユーザーをだまして偽サイトへ誘導し,次に,誘導した偽サイトを本物だと思い込ませて個人情報を入力させる。偽メールの返信として個人情報を送らせる手口---つまり,偽メールで完結する手口---や,ファックスで個人情報を送信させようとする手口(関連記事: ファックスで個人情報を送信させるフィッシングが出回る)などもあるが,多くの場合,フィッシングは偽メールと偽サイトの2段階で構成される。

 偽メールのポイントは,(1)メール中に記述したリンクの飛び先が,偽サイトだと気付かせないことと,(2)メールの本文を,リンクをクリックせずにはいられないような文章にすること。

 (1)を実現するための常套手段は,HTMLメールを使うことである。HTMLメールを使えば,「<a href="(偽サイトのURL)">(信頼できるサイトのURL)</a>」などとして,メール中の表示と実際の飛び先を容易に変えることができる。

 Yahoo!やGoogleなどのリダイレクト機能を利用する方法もある。例えば,「http://rd.yahoo.com/*http://www.example.com」や「http://www.google.com/url?q=http://www.example.com/」といったリンクは,一見,Yahoo!やGoogleに関係のあるサイトや検索結果へ飛ばされそうだが,実際にはいずれもwww.example.comへリダイレクトされる。

 URLをASCIIコードにエンコードする手口もよく使われる。例えば,誘導したいサイトのURLが「http://www.example.com/」の場合,これを「%68%74%74%70%3A%2F%2F%77%77%77%2E%65%78%61%6D%70%6C%65%2E%63%6F%6D」とエンコードする。そして上述のリダイレクトと組み合わせて,「http://www.google.com/%75%72%6C?q=%68%74%74%70%3A%2F%2F%77%77%77%2E%65%78%61%6D%70%6C%65%2E%63%6F%6D」などとすれば,文字コード部分は引数に見え,「http://www.example.com/」に誘導されるとは思わないだろう。

 一方,(2)の基本戦略は「ユーザーを脅すこと」である。「×日以内に下記のサイトへアクセスしないと,あなたのアカウントは失効します」といった手口が一般的だ。苦情に見せかける手口も確認されている(関連記事:苦情を装ったフィッシング・メールに注意)。例えば,ネット・オークションのユーザーに,「お金を送ったのに品物が送られてこない」といったメールが送られてくれば,そのユーザーは慌てて確認しようとするだろう。

 最近では,脅し以外の手口も目立つ。メール中のリンクにアクセスすれば何らかのメリットがあるとユーザーに思わせるものである。例えば,「金銭や商品が当たったのですぐに手続きをしてください」や「ネット・オークションの評価が上がったので確認してください」といった具合だ(関連記事:フィッシングあの手この手)。

SSLでも信用できない

 “首尾よく”偽サイトにユーザーを誘導しても,それだけでは個人情報は盗めない。フィッシャーとしては,誘導した偽サイトを本物のサイトだと思わせて,個人情報を入力させる必要がある。

 そのためには,第一に,Webページの内容を本物そっくりにする必要がある。これはそれほど難しくはない。本物のページにアクセスして,そのページをそっくりダウンロード(コピー)すればよい。入力された個人情報(ユーザーIDやパスワード)の送信先を,フィッシャーのサイトに変更するだけでよい。

 ただ,これだけではWebブラウザのアドレス・バーには,偽サイトのURLが表示されてしまう。そこで,本物と間違えそうな,まぎらわしいアドレス(例えば,www.ebay.comと間違えそうなwww.ebay-members-security.com)を取得して,偽サイトのURLに使用することが一般的だ。

 アドレス・バーを非表示にする手口もよく使われる。バックグラウンドには本物のページを表示させて,その前面に,アドレス・バーを非表示にした偽の入力画面を表示(ポップアップ)させるのである。

 本物のアドレス・バーを非表示にした上で,JavaScriptやテーブルなどで偽のアドレス・バーを表示する手口も確認されている(関連記事:“phishing”の新たな手口が出現)。セキュアブレインの星澤裕二氏によれば,標準ボタンやアドレス・バー,ステータス・バーなどを,偽サイトが用意した画像を使って偽装する手口も存在するという(関連記事:標準ボタンもアドレスバーもステータスバーも作り物)。

 個人情報を入力させるようなページでは,通常はSSLが使われている。このため,「SSLを利用しているかどうか」が,偽サイトかどうかを判断する基準の一つとされている。しかし,それさえも現在では怪しくなっている。というのも,“本物”の---具体的には,Webブラウザに登録されている---CA(認証局)ベンダーが発行したSSL用サーバー証明書(デジタル証明書)を使うフィッシング・サイトが確認されているためだ(関連記事:“本物”のSSL証明書を持つフィッシング・サイト出現)。

 このようなサイトへアクセスすると,ブラウザは警告を出すことなく,SSL通信であることを示す“錠マーク”を表示する。これでは,「SSLを使っているかどうか」「警告が出るかどうか」をチェックしている用心深いユーザーでも,だまされてしまいそうだ。