「2001年以降はウイルスがネットの脅威だった。現在ではフィッシングなどの『デジタル詐欺』が大きな脅威になっている」——。セキュアブレインのチーフテクノロジーオフィサーである山村元昭氏は5月12日,セキュリティ関連の講演会/展示会である「RSA Conference 2005 Japan」において,フィッシングなどについてデモを交えて講演した。以下,同氏の講演内容の一部をまとめた。
米国ではフィッシングが“全盛”で,「どうして簡単にだまされてしまうのか」と聞かれることがある。これについては,日米で状況が異なるだろう。というのも,米国では,銀行やカード会社が顧客への通知にメールを使うケースが多いからだ。例えば,「以下のリンクをクリックして,請求書を確認してください」といった正規のメールが毎月送られてくる。“本物”でも,とても長いリンクが書かれている場合もあり,フィッシング・メールと正規のメールを見分けるのが難しい。
このため,メール・サービスを信用できないような状況になっている。日本でも,金融機関などがメールで通知することが当たり前になれば,同じような状況になるかもしれない。十分注意する必要がある。
また,フィッシングの手口は“巧妙”になっているので,フィッシング・サイトかどうかを“手動”で確認することが難しくなっている。確認の手段として,例えば「ブラウザのアドレス・バーを確認する」や「ブラウザの錠マークをクリックして,SSL証明書を確認する」といったことが挙げられるが,これらは万全ではない。
というのも,例えばJavaScriptを使って,アドレス・バーの部分に偽のアドレスを表示させることが可能だからだ。これは,フィッシングでは一般的な手口の一つだ。また,ブラウザにクロスサイト・スクリプティングの脆弱性があれば,本物のサイトのアドレス・バーと錠マークをブラウザに表示させて,ブラウザ・ウインドウの部分だけに偽のコンテンツを表示させることができる。
「フィッシング・サイトは見れば分かるはず。きちんと確認すれば,だまされることはない」という人がいるが,フィッシングを試みる人が“工夫”を凝らせば,一般ユーザーが見分けることは難しい。
(勝村 幸博=IT Pro)
