フィッシング詐欺の最新状況

進化／多様化するフィッシング詐欺の手口

用心深さを自負しているユーザー諸兄の中には、「フィッシングにひっかかるなんて気が知れない」という人もおられるかも知れない。しかし、”敵もさる者”で、フィッシング攻撃をしかける犯罪者たちは、詐欺を成功させるためにさまざまな対策を講じている。ここでは、そうした手口をいくつか紹介する。

効率を上げるために標的を絞り込む

かつてのフィッシング攻撃は、とにかく無差別にフィッシング・メールを送り、ひっかかった被害者から“のべつまくなし”にお金を巻き上げようとしていた。しかし、それでは目立ってしまって取り締まりの手が伸びるのも早い。手間暇かけて準備してきたのに、十分な稼ぎが得られないうちに手じまいしなければならないケースが増えてきたのだ。

そこで詐欺師たちは、目立たないように、実入りの多い顧客に標的を絞り込むようになってきた。例えば、オンライン・バンキングを狙ったフィッシングの場合、富裕層を主な顧客とする銀行ばかりを狙ったり、預金額の多い法人の口座に狙いを定めたり、あるいは預金を引き出す前に残高情報を確認して一定以上の残高のある口座だけを狙ったりするのである。

フィッシングの被害者と言えば個人ユーザーというのは昔の話である。企業で法人口座を管理している担当者も注意が必要である。

より多くの情報をだまし取るチャット・イン・ザ・ミドル攻撃

RSAセキュリティが先ごろ確認したばかりの最新の手口が「チャット・イン・ザ・ミドル（Chat-in-the-Middle）」である。この手口では、フィッシング・サイトに誘導されてきた被害者からユーザーIDとパスワードばかりか、より多くの個人情報を詐取するための工夫が講じられている。

具体的には、フィッシング・サイトに利用者がログインした後（先ほど図示した手口の第3段階の後）に、詐欺師から被害者に対してチャットを開始するのである。

突然チャット・ウインドウが開いたかと思うと、銀行の詐欺対策部門の担当者を名乗る人物が、チャット画面越しに「口座情報の検証に協力してほしい」などとリアルタイムで書き込んできて、生年月日や住所、電話番号やメール・アドレス、秘密の質問とその答えなどを聞いてくる。

通常のフォーム形式で入力するように指示されればそれと気づくような人でも、まさか詐欺師がマンツーマンでチャットをしかけてくるとは思いもしないことから、ついつい言われるがままに情報を提示してしまうケースが見られるという。

フィッシング・サイトの特定を妨げるfast-flux型ネットワーク

フィッシング詐欺をやめさせるためには、フィッシング・サイトを閉鎖するのが有効である。当然ながら、それにはフィッシング・サイトの場所を特定する必要がある。この場所の特定を困難にするためのテクニックが、fast-flux型ネットワークである。

DNS（Domain Name System）に対して登録するフィッシング・サイトのIPアドレスに、複数の透過型プロキシ・サイトを登録し、しかもその情報を短時間で自動的に変更することにより、本来のフィッシング・サイトの場所を分かりにくくするのである。

間に入るプロキシ・サイトが短時間で切り替わることにより、フィッシング・サイトの逆探知が難しくなるほか、個々のプロキシ・サイトを閉鎖してもどんどん代わりのプロキシ・サイトが割り当てられるようになる。これらにより、フィッシング・サイトの閉鎖に手間取ってしまうのである。

フィッシング攻撃への対処法

フィッシング詐欺は攻撃回数も増加し、手口も多様化しているが、守備側の対策も進んでいる。すでに述べたように、フィッシング攻撃の被害を絶つには、フィッシング・サイトを閉鎖（すなわちフィッシング・サイトをホスティングしている事業者の協力を得てサーバーをシャットダウンしたり、ISPの協力を得てフィッシング・サイトにつながる回線を切断）する必要がある。

フィッシング・サイトの閉鎖を短時間で行うことで、フィッシング詐欺の被害を最小化できる。このためにRSAセキュリティが提供しているサービス「RSA Fraud Actionフィッシング対策サービス」では、従来平均50時間近くかかっていたフィッシング・サイトの閉鎖を、約5時間に短縮することに成功した。

RSA Fraud Actionフィッシング対策サービスによって閉鎖したサイト数は累計22万を超えており、世界中の320に及ぶ金融機関で採用されている。日本でも主要金融機関を中心に30社以上で導入が進んでおり、国内金融機関のオンライン・サービスをフィッシング詐欺から守っている。

次回からは、トロイの木馬を利用した新たなオンライン詐欺やオンライン犯罪集団を報告するとともに、これらから身を守るための手段を解説する。