2004年9月,アンチウイルス・ベンダーの大手三社――トレンドマイクロやシマンテック,マカフィー――は,ウイルス/スパム(迷惑メール)対策ソフト製品の新版を相次いで発表した(関連記事1関連記事2関連記事3 )。

 ベンダー各社が新機能の一つとしてうたっているのが「フィッシング」対策機能。フィッシングとは,クレジット・カード番号やパスワードといった個人情報を盗むオンライン詐欺のこと。実在する企業から送られたように見せかけた偽のメールでユーザーを偽のサイトに誘導し,個人情報を入力させる。メールだけで“完結”する場合もある。具体的には,偽メールの返信として個人情報を送らせる手口や,偽のHTMLメール中のフォームに個人情報を入力させる手口などがある。

 各社が今回発表したウイルス/スパム(迷惑メール)対策ソフトの新版では,フィッシングをもくろむような偽メールを検出して,ユーザーがフィッシングにひっかからないようにするという。

 ウイルス/スパム対策ソフトには,メールの内容(メール本文に限らず,ヘッダー情報や添付ファイルの内容を含む)を解析する機能がある。このため,フィッシング・メールを判定するルールさえ実装すれば,ウイルス/スパムの一種として検出できそうである。実際各社とも,スパム対策機能の拡張で対応するとしている。

 しかしながら,スパムの文面とは異なり,フィッシング・メールの文面は“まとも”である(フィッシング・メールのサンプルは,フィッシング対策の業界団体「The Anti-Phishing Working Group(APWG)」で見ることができる)。フィッシング・メールは実在する企業から送られたメールに見せかける必要があるからだ。このため,「メール中の特定キーワードの出現頻度で判定する」といった,スパム判定でよく用いられる手法は使えないはずだ。

 では,各製品はどのようにフィッシング・メールを検出するのか。

メール本文中のURLで判断

 以下に,各社に取材した検出方法をまとめた。ただ,あらかじめお断りしておきたいのは,各社が開示してくれたのは,検出方法の一部である。その“手の内”のすべてを明かしてしまっては,検出機能を回避されてしまうからだ。さらに各社は,「新版の検出機能を回避するようなフィッシング・メールが出回れば,それに合わせて検出方法などを改良する」と強調している。

 まず,トレンドマイクロが提供するセキュリティ・ソフト「ウイルスバスター 2005 インターネット セキュリティ(以下,ウイルスバスター 2005)」では,「メール中に記述されているURLでフィッシング・メールかどうかを判断する」(マーケティング本部プロダクトマーケティング部プロダクトマネージャー瀬川正博氏)という。前述のように,メールの本文からフィッシング・メールかどうかを判断するのは難しい。そこで,偽のサイト(フィッシング・サイト)へ誘導するためのURLに注目する。

 ウイルスバスター 2005では,フィッシング・サイトであることが確認されているサイトのURLがメールに含まれている場合,そのメールをフィッシング・メールと判断する。新しいフィッシング・サイトは日々作られているので,同社ではそれらのURL情報をパターンファイルの一部として提供する。ユーザーがパターンファイルを更新していれば,新しいフィッシング・サイトにも対応できる。これは,米Earthlinkが提供するフィッシング対策ツールが用いている手法と,ほぼ同じだと考えられる(関連記事)。

 実は,この機能は現行のウイルスバスター 2004でも実装しているという。ただし現状では,フィッシング・メールは迷惑メール(スパム)としてユーザーに通知される。具体的には,メールの件名の冒頭に[MEIWAKU]という文字列を挿入する。新版では,フィッシング・メールと判定した場合には,スパムの場合とは異なる文字列を挿入して,ユーザーの注意を促す。

 ただ,異なる文字列を挿入するようになるのは,「年末あるいは来年初頭」(瀬川氏)。挿入する文字列については,現時点では未定。それまでは,ウイルスバスター 2005でもスパムとして判定される。同社が対応すれば,パターンファイルを更新した際に,異なる文字列を挿入するようにウイルスバスター 2005が更新される。

 シマンテックの「ノートン・アンチスパム 2005」(この製品は,同社のセキュリティ・スイート製品「ノートン・インターネットセキュリティ 2005」にも含まれる)でも,メール中のURLに着目する点は同じだ。ただし,判定方法が異なる。「AntiSpamでは,“怪しい”URLが含まれてるメールをフィッシング・メールと判定する」(コンシューマ・マーケティング部のプロダクトマーケティングマネージャ田上利博氏)

(写真をクリックして拡大表示)
 具体的には,(1)URL中の文字列をエンコードしている場合(例えば,「http://%40%77%77%77%2E%65%78%61%6D%」)や,(2)URLがIPアドレスのもの,(3)ポート番号が指定されているもの(例えば,「http://192.168.0.1:2000」),(4)コマンドを実行させようとするもの(例えば,「file://c:/command.com 」)――などを“怪しい”とみなす。ただし,これらに該当すれば「即,フィッシング・メール」というわけではなく,「総合的に判断する」(田上氏)という。

 また,同製品の設定メニューには「HTMLフォームが入っている電子メールを常に遮断する」という項目が加わった(写真1[拡大表示])。初期設定で有効なこの項目は,前述の「メールで完結するフィッシング」に対抗するためだ。