“phishing”という言葉をご存じだろうか。「フィッシング」と読む。“fishing”と同じ発音だ。インターネットにはびこる詐欺の一つで,実在する企業のWebサイトに見せかけたサイトへユーザーを誘導し,クレジット・カード番号などを入力させて盗むことを指す。

 このときユーザーを誘導する“えさ”となるのは,その企業からのものに見せかけた電子メールである。送信者名(From)をその企業の名前にして,本文には「下記のリンクへアクセスして個人情報を入力しないと,あなたのアカウントは失効します」などと書く。まんまとだまされたユーザーには,クレジット・カード番号やそのサービスのパスワードなどを入力させる。

 ユーザーを釣るということで,意味的にはfishingなのだが,phishingと書く。なぜ“f”ではなく,“ph”なのか。辞書には載ってないようなIT用語を解説する「Word Spy」によると,ユーザーを釣るためのえさ(メール)が“sophisticated”されているためだという。

 米国では2003年ごろから流行し始め,FTC(米連邦取引委員会,Federal Trade Commission)は2003年7月に一般ユーザー向けの警告文書を公開した。同じく2003年夏には,セキュリティ・ベンダーである米Tumbleweed Communicationsが中心となって,“アンチ・フィッシング”の業界団体「Anti-Phishing Working Group(APWG)」が組織された。APWGには,ベンダーだけではなく,金融関連の企業やISPなども参加しているという。

 APWGが2004年2月に公開したレポート(PDFファイル)によると,1月中に176種類の新しい“えさ”——すなわち,ユーザーを偽サイトに誘導するメール——が報告されたという。フィッシングに使われる企業としては,米eBay米Citibankなどが多いという。これらの企業は,自社のサイトでフィッシングに関する注意を呼びかけている。

URLを偽装する

 “えさ”となるメールで重要なのは,メールに書かれたリンク先を本物に見せかけることである。「偽サイトへのリンクを本物のように見せかける方法」として筆者の頭にまず浮かんだのは,2003年12月に見つかったInternet Explorer(IE)のセキュリティ・ホール(関連記事)を突く方法である。IEに見つかった“URL偽装”を許すセキュリティ・ホールを突けば,Outlook Expressなどのステータス・バーに表示されるURLや,IEのアドレス・バーに表示されるURLを偽装できる(関連記事)。

 この問題に関するパッチは2月に公開されているものの(関連記事),パッチ未適用のユーザーを当てこんで,さぞかし“利用”されていることだろうと筆者は思っていた。ところが,1月中にAPWGに報告された新たな手法の中では7.8%に過ぎなかった。最も多かったのは,ユーザー名とパスワードを含めた形式のURLを使う方法だった。「http://[ユーザー名]:[パスワード]@[サーバー名].[ドメイン名]/[ファイル名]」といったURLでユーザーをだまそうとする方法が32%を占めた。

 例えば,「http://www.trusted_site.com:CGI@www.example.com」といったリンクをメールに書いておく(関連記事)。一見「http://www.trusted_site.com/」へのリンクに見えるが,実際には「http://www.example.com/」へ誘導される。この方法を使うには,リンクに「@」を含めることが不可欠。だが,「@」が含まれていないからといって安心はできない。「@」が16進の文字コードとして含まれている可能性があるからだ。具体的には「http://www.trusted_site.com%3ACCOUNT%40www.example.com」としてリンクに含める。

 「『@』が含まれていなくても,ドメイン名のような文字列が複数含まれているリンクに注意すればよいのかな?」——。それでも不十分である。「@」ばかりではなく,実際に誘導したいドメインの名前も文字コードで記述されている場合がある。具体的には「http://www.trusted_site.com%3ACCOUNT=%40%77%77%77%2E%65%78%61%6D%70%6C%65%2E%63%6F%6D」のようにする。

 この方法は以前からよく使われているものの一つである。フィッシングではないが,2001年7月には米Microsoftからのものに見せかけたメールに上記のようなリンクを用意して,パッチと偽ってウイルスをダウンロードさせるようなメールが出回った。“使い勝手のよい”方法なので,今後も使われることだろう。

 ただし,2月に公開されたパッチを適用したIEでは,ユーザー名とパスワードを含めた形式のURLへはアクセスできなくなっている(関連記事)。ユーザー名とパスワードを含めた形式のURLを入力すると,タイトル・バーには「無効な構文エラー」と表示される。このため,この形式のリンクで誘導される恐れは少ない。

単純な方法から“力技”まで

 とはいえ,パッチを適用しているユーザーでも油断は禁物。別の方法も複数存在する。例えば,Yahoo!やGoogleのリダイレクションを利用する方法がその一つだ。「http://rd.yahoo.com/*http://www.example.com」や「http://www.google.com/url?q=http://www.example.com/」といったリンクをクリックすれば,いずれもwww.example.comへリダイレクトされる。

 リダイレクト先のサイト名を文字コードで書けば,より“効果的”だろう。「http://rd.yahoo.com/*%68%74%74%70%3A%2F%2F%77%77%77%2E%65%78%61%6D%70%6C%65%2E%63%6F%6D」や「http://www.google.com/%75%72%6C?q=%68%74%74%70%3A%2F%2F%77%77%77%2E%65%78%61%6D%70%6C%65%2E%63%6F%6D」などとすれば,文字コード部分は引数に見える。

 ちなみに,以前筆者に「No Risk http://rd.yahoo.com/*http://(あるサイトのURL)」と一言だけ書かれたメールが送られてきた。「No Risk」と書いてある時点で,怪しさ満点である。

 あるセキュリティ・ベンダーの方からは「そんな工夫をしなくても,HTMLメールに仕込んでおけば,ユーザーを誘導できる」と聞かされた。HTMLメールに「<a href="http://www.example.com/">http://www.trusted_site.com/</a>」と書いておけば,trusted_site.comだと思って,example.comにアクセスするという。もちろん,リンク部分にカーソルを当てれば,リンク先のURLは表示されるので,飛び先がexample.comであることは分かる。しかし,画面に表示されているのが「http://www.trusted_site.com/」だと,そこをクリックして飛ぶ先はtrustedsite.comだと信じてしまうユーザーは多いという。

 “力技”と思えるのが,実在するサイトと似たURLを実際に取得して,そのサイトにワナを仕掛ける方法だ。APWGによると,「http://www.ebay-secure.com/」や「http://www.yahoo-billing.com」といったURLのサイトを使ったフィッシングが1月中に報告されているという(いずれも現在ではアクセスできない)。単純だが効果的な方法だ。とはいえ,ばれるとすぐにそのサイトは閉鎖させられるようだ。この手法を使う“フィッシャー(phisher)”は,ユーザーが間違えそうなURLを次から次へと取得しては,使い捨てるのだろう。

アドレス・バーを非表示にされる

 さて,いくつかフィッシングの手法を紹介したが,「リンクをクリックさせてサイトへ誘導することに成功しても,ブラウザのアドレス・バーから偽サイトだとばれるのではないのだろうか」と思われた方もいるだろう。確かに,IEのセキュリティ・ホールを突く方法や“力技”以外では,アドレス・バーにはユーザーが意図していないURLが表示される。「偽サイトに誘導されるようなユーザーはURLなど気にしないはず」とタカをくくって,そのまま表示させる偽サイトもあるが,なかにはアドレス・バーを非表示にして気付かれないようにする偽サイトもある。。

 アドレス・バーを表示させるサイトばかりであれば,突如非表示になったことでユーザーは怪しいサイトへ誘導されたことが分かる。しかし,正規のサイトであっても,ページのアドレス・バーを表示させないところは多い(関連記事)。このため,非表示にしてもユーザーに怪しまれない。

 Webサイトに誘導しないフィッシングもある。個人情報を入力するフォームを含むHTMLメールが送られてくる場合がある(eBayが公開している例)。フォームに情報を入力し,「Submit」ボタンを押すと,情報がeBay以外のサイトへ送られる。eBayなどでは「個人情報を入力させるようなメールを送ることはない」と警告している。

 個人情報を盗むプログラムをメールに添付して送りつける方法もある。添付されたプログラムを実行すると,クレジット・カード番号などを入力する画面が表示される。その画面に入力した情報は,メールなどで外部へ送信される。このようなプログラムを添付するウイルスも出現している(関連記事)。

 メール中のリンクをクリックすると,情報を盗むようなプログラムがダウンロードされる場合もある。そのプログラムを実行すると,入力画面が表示される。プログラムには,ユーザーのキー入力を記録する「キー・ロガー」が仕込まれていることもある。

釣られないための心構え

 フィッシャーは,手を変え品を変え,ユーザーの個人情報を釣り上げようとする。ユーザーとしてはだまされないことが第一。リンクを安易にクリックしないことが重要である。FTCでは,釣られないための心構えとして次のことを挙げている。

 「個人情報を入力しないと,あなたのアカウントは失効します」といったメールがきても,そのメールに返事をしたり,メールに書かれたリンクをクリックしてはいけない。そのメールの差出人となっている会社に電話で連絡したり,その会社のWebサイトから連絡すること。この場合,その会社のものであることが確認できている電話番号やURLを使う

 そのほか,「Webで個人情報を入力する際にはSSLが使用されていることを確認する」「クレジット・カードなどの明細に,よく分からない金額が書かれていないかチェックする」——などを挙げている。

 フィッシャーは工夫を凝らす。それ以外に,フィッシングが成功する背景には,メールに書かれた送信者名(送信者アドレス,Fromアドレス)への過信があると思う。送信者名はあくまでもデータ(本文)の一部なので,いくらでも偽装できる。メールは送信者名に書かれた情報を使って送られてくるわけではない。にもかかわらず,送信者名に実在する企業などが書かれていると,そこから送られてきたように思うユーザーは多いようだ。ウイルスやスパムも,現在では送信者名を偽装するのは常とう手段。決して過信してはいけない。

 eBayでも,「たとえeBayから送られてきたように見えるメールでも,実際にそうだとは限らない」と警告している。具体的には,「From」欄に「support@ebay.com」や「billing@ebay.com」「eBay Account Maintenance」などと書かれていても,そのメールがeBayから送られたことを保証するものではないと説明している。

 Webでサービスを提供する企業も考える必要がある。その最たるものが,前述の「アドレス・バー」を隠すページである。「アウトソーシングしているので,その企業のドメインではない。アドレス・バーを表示させると,ユーザーが不安がるだろうから非表示にしている」といった理由から隠していると筆者には思われる。

 しかし,そのような余計な配慮が,アドレス・バーを非表示にしていても怪しく感じさせない土壌を作っているように思えてならない。アウトソーシングしている場合には,その旨をきちんとユーザーに分かりやすく説明した上で,堂々とアドレス・バーを表示すべきだろう。

 国内では米国ほどにはフィッシングは話題になっていない。しかし,今後必ず出現するだろう。「こんな記事を公開すると,寝た子を起こすことになる」と思われる読者がいるかもしれないが,心配はご無用。この記事で書いたような内容は,インターネットにいくらでも転がっている。“フィッシャー予備軍”なら必ず知っている内容だ。

 とにかく,「少しでも怪しいリンクはクリックしない」「個人情報を安易に入力しない」——。これらを守れば,釣られる危険性は少ない。そしてこれらは,フィッシング対策だけではなく,「セキュリティのセオリー」でもある。IT Pro読者ならば「いまさら・・・」な内容と思うかたも多いだろう。しかし,これを機に再認識していただくとともに,まわりの方にもぜひ伝えていただきたい。

(勝村 幸博=IT Pro)