Tweet

APWGがカンファレンス開催

フィッシングを目的とした「悪意あるドメイン名登録」が増加

2008/05/27

　フィッシング対策を目的とした米国の業界団体、APWG（Anti Phishing Working Group）は5月26日、27日にかけて、フィッシングを軸に、インターネット上の犯罪とその対策について議論するカンファレンス「ネット犯罪対策運用サミット（CeCOS II：The second annual Counter-eCrime Operations Summit）」を東京都内で開催している。

　カンファレンスでは、各国のセキュリティ専門家らが、フィッシング詐欺を手軽に実行できてしまうツールキットの存在や国・地域ごとの特徴などを指摘した。例えばマカフィーのゲオ・メン・オン氏は、韓国や中国、インド各国では、英語圏とは異なる独自のアプリケーションやサービスが普及していると述べ、「ローカライゼーションが進むと、それを狙った攻撃が増えてくる。地域それぞれに応じた対策が必要になってきている」と指摘した。

　中でもユニークなのは、グレッグ・アーロン（Greg Aaron）氏とロッド・ラスムッセン（Rod Rasmussen）氏によるプレゼンテーションだ。両氏は、フィッシング詐欺に利用されるWebサイトの実情をまとめた調査結果について報告した。

グレッグ・アーロン氏（右）とロッド・ラスムッセン氏（左）

　APWGが確認したフィッシングサイトは数百万サイトに上る。それらが利用しているドメイン数は5万1989種類で、IPアドレスで見ると延べ1万1553個だ。

　トップレベルドメイン（TLD）は182種類に上り、日本や米国、英国など「世界中のほぼあらゆる国が見つかった」（ラスムッセン氏）。さらに「英語版だけでなく、母国語を使った国際化ドメイン名（Internationalized Domain Name：IDN）も影響を受けている」（同氏）という。

　ラスムッセン氏はさらに「（最初から詐欺などに利用することを目的とした）悪意あるドメイン名の登録が増えている」と指摘し、それを差し止めるなどの措置を取るべき時期に来ていると警鐘を鳴らした。

　フィッシングサイトの多くは、攻撃者がWebサイトに不正侵入して内容を書き換え、設置される。一方で、正規のドメイン名によく似たドメイン名を取得し、似たようなページを設置して、ユーザーが間違えてアクセスしてくるのを待ち受けるパターンもある。

　いずれにせよ「無実のサイトがハッキングされてフィッシングに使われるケースもあるが、一方で、悪意のある登録もかなりある。フィッシングを退治するには、ドメイン名を見て、それが悪意ある形で登録されたものかどうかを見極めることが重要だ」（ラスムッセン氏）

　注意が必要なのは、サブドメインやサブディレクトリに設置されるフィッシングサイトが増加している点だ。「おそらく、監視している人の目から逃れることが目的だろう」（ラスムッセン氏）。サブドメインを提供するサービスの多くが無償で利用できること、WHOISに該当する仕組みがないため、誰がそのサブドメインを運営しているのかを突き止めるのが困難なことも、こうした傾向を加速している。

　「フィッシング攻撃を仕掛ける人にとっては、ドメインそのものを悪用するよりも、こうした無償のサービスを利用する方が楽だろう」（アーロン氏）

　両氏によると、ドメイン名がフィッシング詐欺に悪用されるかされないかを分ける要因は、場所やドメイン登録料よりも、登録作業を行うレジストラのポリシーや運用体制によるという。簡単にドメイン名を取得できるか、それとも身分証明や審査を経ない限り発行しないかどうかによって、フィッシング詐欺への悪用度合いが異なるというわけだ。

　逆に言えば「レジストラやレジストリは、悪質な登録に関する情報をやり取りするのに便利な立場にある。データベースを見れば、悪質なドメイン登録かどうかは分かるはずだから、必要に応じて登録を停止するといった措置を執るべきだ」（ラスムッセン氏）。