「今までフィッシングといえば,ユーザーをだまして個人情報などを入力させる『ソーシャル・エンジニアリング』が主流だった。しかし今後は,キー・ロガーなどを使って,ユーザーに気付かれないようにカード番号などを盗む『ステルス型』が増えるだろう」――。Anti-Phishing Working Group(APWG)の事務局長(Secretary General)を務めるPeter Cassidy氏は1月27日,IT Proの取材に対して,フィッシングの現状などを解説した。
APWGとは,2003年に米国で設立されたフィッシング対策のワーキング・グループ。フィッシングに関する情報をサイトで公開するとともに,啓蒙活動などを行っている。セキュリティ・ベンダーや銀行,信販会社などがスポンサーとなっている。国内ベンダーでは,セキュアブレインがスポンサーになっている。今回Cassidy氏を招いたのもセキュアブレインである。同日,プレス向けの講演会も実施した(写真)。
一般的に,フィッシングとは「実在する企業から送られてきたと見せかけた偽メールでユーザーを偽サイトへ誘導し,個人情報などを入力させて盗むオンライン詐欺」と説明されることが多い(関連記事1,関連記事2)。実際,現在ではそのような手口が主流だが,「2004年2月ごろから,ユーザーのキー入力を記録するキー・ロガーを使うフィッシングが増えている」(Cassidy氏)という。例えば,ユーザーのパソコンにキー・ロガーをインストールさせて,オンライン・バンキングに入力するパスワードを盗む。盗んでいることをユーザーに気付かせないため,「ステルス型」と呼ばれる。
ステルス型の具体例として,Cassidy氏は,「Stawin」と呼ばれるキー・ロガー(「トロイの木馬」に分類される場合もある)の変種を使ったフィッシングを紹介する。まず,不特定多数のユーザーに,実在する企業を送信者とする「注文確認メール」を送信する。そのメールの中には,細工を施した偽サイトへのURLが書かれている。そのサイトのWebページには,ブラウザのセキュリティ・ホールを突いてStawinをダウンロードおよび実行させるようなスクリプトが書かれている。セキュリティ対策を施していないパソコンでアクセスした場合には,知らないうちにStawinを埋め込まれ,重要な情報を盗まれることになる。具体的には,ある特定の銀行サイトにアクセスしているときのキー入力をすべて盗むという。
そのほかステルス型の手口としては,「キー・ロガーをメールに添付して,ユーザーに有用なファイルだと思わせて実行させる」や「Windowsなどのセキュリティ・ホールを突くウイルス(ワーム)を使って,キー・ロガーをインストールさせる」などが考えられるという。ここまで来るとフィッシングではないような気がするが,「手口が異なっても,ユーザーの個人情報を盗むという目的は同じ。ITを使って『個人情報を盗む行為』全般をフィッシングと考えてよいだろう。例えば,無線LANを盗聴してカード番号などを盗むことも,フィッシングと呼べるだろう」(Cassidy氏)。手口が複雑化・多様化するとともに,「フィッシング」の定義も変化しているようだ。
「今後はステルス型が主流になる」と予測するCassidy氏。しかしながら,APWGに寄せられる被害報告のほとんどは,ユーザーをだますソーシャル・エンジニアリング・タイプだという。「ソーシャル・エンジニアリングなら,ユーザーはだまされて情報を入力してしまったことが分かるので報告する。一方ステルス型では,ユーザーは気付かないので報告してこない。たとえキー・ロガーがインストールされていることに気付いても,実際に情報を盗まれたかどうかは分からない。このためAPWGでも,ステルス型による被害の実数はつかみかねている」(同氏)
(勝村 幸博=IT Pro)
