企業がすべきフィッシング詐欺対策(1)

不正なメールを不正なものと判断できますか?

亀田 治伸
日本ベリサイン株式会社
システムエンジニアリング部 部長代理
2005/7/9

 フィッシング詐欺とは、最近インターネット上をにぎわせている詐欺行為のことです。「なんだろう?」と思って、検索エンジンで「フィッシング」と打ち込んでみると、釣り竿やルアーの通販サイトがたくさん出てきます。その結果、もっと混乱してしまう方もまだまだたくさんいらっしゃるのではないでしょうか?

 ここでいう「フィッシング」とは「Phishing」とつづり、釣りの「Fishing」とは異なります。これは「Sophisticated(非常に洗練された)」と「Fishing(釣り行為)」を組み合わせた造語といわれています。フィッシング詐欺はインターネット版の「オレオレ詐欺(振り込め詐欺)」といわれますが、盗まれるものは主にユーザーID/パスワードであったりクレジットカード番号ですから、皆さんの大事なお金を直接盗まれるものではありません。しかし、 盗まれたID/パスワードやクレジットカード番号が悪用され被害が発生します。

 フィッシング詐欺にだまされないためには、フィッシング詐欺に関する知識を付けることが一番重要です。また、詐欺を水際で防止するためのソリューションも登場してきましたので、それらを活用するのも一手です。

 しかし、インターネットを利用したビジネスを展開する企業が、フィッシング詐欺対策をエンドユーザーだけに負担させておいていいのでしょうか。 企業は自身のサービスを利用するユーザーに安全を提供する義務があります。フィッシング詐欺の多くはユーザーが不審なメールを受け取ることから始まります。このため企業は、ユーザーにとって安全性の高いメール送信システムを構築すべきであると考えます。

 本稿では、企業が導入可能な送信者認証技術を紹介し、ユーザーを守るための対策を検討していきます。

 CitiBankをかたったフィッシング詐欺の例

 有名なCitiBankの事例でその手口を紹介しましょう。CitiBankをかたったメールには、「あなたのアカウント(銀行口座)に異常が発生しています。ここをクリックして情報をアップデートしてください」という旨が記述されておりユーザーの危機感をあおります。そのため、一部のユーザーは「here」と書いてあるリンクをクリックしてWebページに飛んでしまうかもしれません。

図1 CitiBankをかたったメール

 メール中のリンクをクリックして表示されたWebサイトは、いつも使用しているCitiBankのオンラインバンキングの画面と同じものです。何の疑いもなくユーザーIDとパスワードを打ち込むユーザーも存在するかもしれません。

 また、このCitiBankのWebサイトはクレジットカード番号を入力するよう指示しています。もし、素直にクレジットカード番号を入力してしまうと、ある日突然悲劇がやってきます。貯金はゼロになり、身に覚えのない高額なクレジット払いの請求書が届くことでしょう。

図2 偽CitiBankのWebサイト

 簡単に送信者を詐称できる

 お気付きのとおりユーザーが受け取ったメールはCitiBankからのものではありません。メールの送信者を詐称するのは非常に簡単です。メールソフトの設定を変更するだけで可能ですから、誰でも30秒でビル・ゲイツや小泉純一郎になりすませます。

 フィッシング詐欺は、ユーザーに送信者を詐称した不正なメールを送りつけることから始まります。人間は、一度物事を「こうだ!」と判断してしまうと、途中で方向修正するのは難しくなります。最初のメールでだまされてしまった場合、リンク先のWebページを疑うことができる方はどれほどいらっしゃるのでしょうか? 少なくとも私にはその自信がありません。

 一般ユーザーには簡単ではありませんが、受け取ったメールが怪しいと思った場合、確証を得るための判別方法があります。メールのヘッダにはさまざまな情報が書き込まれています。

図3 メールのヘッダ情報

 「Received:」という情報に注目してください。この項目には、このメールがどのようなサーバを通りユーザーの元へ配信されたのかという情報が含まれています。ここからメールの差出人が所属しているサーバが確認可能となります。サーバには一般的にその会社や業務委託先の関連するドメイン名が含まれています。

 ただし、ここで確認可能なのはあくまでサーバまでです。誰がそのサーバを使用したのかというところまでは簡単には突き止められません。ひょっとしたら、悪意のあるユーザーに、セキュリティの低いサーバが乗っ取られた可能性もあります。サーバの管理者にログを要求する際には法的なアクションも必要になるでしょう。

 残念ながら、ユーザーにとっては、その人の技術レベルの高さにかかわらず、そのメールが正しいかどうかの判別はかなり難しく時間を要するものです。実質的には判別は不可能に近いかもしれません。 だからこそメールに対する直感的なインターフェイスを備えた対策が必要なのです。

 誰が悪いのか

 フィッシング詐欺が発生してしまったのは、誰が悪かったからでしょうか? そして誰が対策を施さないといけないのでしょうか?

 フィッシャー(フィッシング詐欺師)が悪いのはもちろんです。そのほかの登場人物はどうでしょうか? もちろんユーザーは被害者です。またCitiBankは勝手に名前を使われただけであり、同じく被害者です。映画『マイノリティ・レポート』のような犯罪者を犯行前に把握できるようなシステムがないかぎり、CitiBank側は事前にそれを察知できません。従ってCitiBankを責めるのは酷だと思います。詐欺メールを配信したISPも責められません。どのユーザーがどのメールを必要とし、どのメールがフィッシャーにより配信されているのかをISPが把握するのは不可能です。

 ではどうすべきでしょうか。フィッシング詐欺に対して泣き寝入りしないために、ユーザー、企業ともに自衛という手段が残されています。企業には自社サービスを利用するユーザーに対し、フィッシング詐欺の危険性を説明し、ユーザーが危険にさらされないような対策を可能な限り施し、啓もう活動を行う道義的・社会的な義務があります。また、ユーザーはメールというものが持つ危険性と企業が施す対策の意味を理解する必要があるのではないかと思います。

 メールを安全に使用するための技術はいくつか存在しており、大きく2つに分類されます。

  1. 不正なメールを不正であると判断するもの
  2. 正しいメールを正しいと通知するもの

 重要なことは、メールという相手が直接見えない非対面でのやりとりにおいて、「不正」の反対が「正しい」ではないということです。従って、どちらかが適応されればそれで安全であるというものではなく両方を組み合わせる必要があります。これは後ほど説明いたします。

 不正なメールを不正であると判断するもの

 まず不正なメールを不正であると判断するものについて説明をします。有名なのはスパムフィルター、ウイルス対策などを発展させたパターンマッチング方式です。あらかじめ登録されている不正リストを使用し、不正なメールをサーバ側で判断しユーザーに送付しない、もしくはユーザー側でアラートを出すというものです。ユーザーは安全なメールだけを受け取ることができますし、どれが不正であるかを意識する必要がなくユーザーにとって非常に便利で協力なものです。

 この方法は非常に強力ですが、残念ながら2点課題が残ります。

●パターンファイルの作成と配信にかかる時間

 パターンマッチング方式の製品を提供している会社がすべてのフィッシング詐欺メールを受け取り、解析を行えるわけではありません。このため、ユーザーからの報告が重要なのですが、「ユーザーからの報告」→「メールの検証」→「パターンファイル作成」→「パターンファイル検証」→「配信」の間にはタイムラグが生じてしまいます。これが1つ目の課題です。

●誰が「不正」と判断するのか?

 一般的にスパムフィルターなどでよく議論される問題なのですが、あるメールに対して「“確実”に不正なメールである」と誰が判断を行うのでしょうか。機械的なロジックに従い判別を行うことは不可能です。

 例えば、メールヘッダの情報から、メールの差出人のドメインが、異なる組織が保有しているデータセンターのサーバから配信されていることは分かるかもしれません。これは送信者詐称が起きている可能性があります。しかし、配信サーバが本来の組織から別組織にアウトソースされている可能性もあります。このため「メール送信者=メール配信サーバ保有者」とは限りません。

 ゆえに、最終的には人間が判断を行うこととなります。この場合、ある会社が送信した「正しい」メールを「不正」であると判断してしまった場合、その人間(及び属する組織)は確実にクレームを受けるでしょう。従って判断はある程度保守的になってしまいます。これが2つ目の課題です。

 このような理由から、「不正」の反対は「正しい」ではなく、「不正」の反対は「グレー」か「正しい」かのどちらかです。つまり正しいものを正しいと判別可能な技術が別に必要となるのです。

 また、パターンマッチング方式ではフィッシング詐欺のターゲットとなる会社は手の打ちようがありません。ユーザーはターゲットとなった企業のメールサーバからメールを受信していないからです。それ故企業は自身の責任を果たすために別の方式を模索しなければなりません。

 では、正しいメールを正しいと通知するものにはどのようなものが存在しているのでしょうか。「正しい」とは何をもって「正しい」と判断するのでしょうか。それには、メールを送信したサーバを正しいと信頼する方法と、メールを送信した人間を正しいと信頼する方法の2種類があります。

 前者に属するのが「SenderID」と「DomainKeys」で、後者に属するのが「S/MIME」です。前者は送信者ドメイン認証といわれ、後者は送信者認証と区別され始めています。次回以降は、3つの送信者認証技術に関して説明します。

企業がすべきフィッシング詐欺対策 バックナンバー


関連リンク
  本物と偽物のサイトを組み合わせるフィッシング詐欺
  いまさらフィッシング詐欺にだまされないために
  フィッシング詐欺対策として企業が負うべき責任
  Sender IDはスパム対策の切り札となるか!?
  S/MIMEでセキュアな電子メール環境をつくる!

Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH