@nifty トップ  > 会員向けサービス  > セキュリティ@nifty  > セキュリティ特集記事  > ニフティ伊藤求のセキュリティ・スコープ  > 第5回 進化したフィッシングに備えよう
セキュリティ特集記事 伊藤求のセキュリティ・スコープ

第5回 進化したフィッシングに備えよう

2008年1月30日

フィッシング手法が変化してきている

2007年 12月 27日、日本銀行より「日銀レビューインターネット・バンキングの安全性を巡る現状と課題−2007年」が発表されました。このレポートは、主にインターネットバンクを運営する銀行向けの内容ですが、フィッシング手口の解説や銀行側対策に関する評価などもあり、利用者にとっても有益な内容になっています。


その中で気になる報告としては"フィッシングメールの内容も偽装サイトに誘導してパスワードなどの個人情報を入力させるタイプとは限らず、トロイの木馬などの不正プログラムを実行させたり、利用者のパソコンから密かに情報を盗んだり、遠隔操作するものなどが増えつつある。"というものです。

利用しているオンラインバンクからのメールと思って開いたメールにあるアドレスに何気なくアクセスすると、実はキーロガーやボットに感染してしまう。という攻撃シナリオが増加しているということです。

このような攻撃を受けてしまうと、たとえアクセスしたサイトが「怪しい!」と思っても後の祭りです。ユーザが入力したすべての内容が記録され、悪意のある人たちに送信されてしまうからです。

オンラインバンクだけがフィッシングの標的じゃない!

一般にフィッシングメールというと、銀行やクレジットカードの情報を盗み出す手法というイメージを持ちがちですが、標的はそれだけではありません。

上記レポートのようなキーロガーやボットをインストールするタイプのものでは、オンラインゲームやオークションサイトだけでなく、メールやISPアクセスなどのアカウント情報も標的になります。

  • ※ こんな話題をしたとたん、みなさまの @nifty ID が標的になってしまいました。

今回のインシデントは、"メールのパスワードは有効期間が過ぎたので...”といった内容のメールでフィッシングサイトに誘導し、ID とパスワードを詐取しようとしたものでした。

フィッシングサイトは海外にありましたが、 アドレス は、nifty.○○○.com/○○○/login.htm。ページの内容もよく似せたもので、一見すると弊社サービスのように見える巧みなものでした。今回は、アクセスするだけでウイルスがダウンロードされてくるタイプではなかったので、その点では不幸中の幸いでした。

先にご紹介したように、アクセスするだけでウイルスに感染するサイトに誘導するフィッシングメールも多発しています。

怪しいメールのアドレスにはくれぐれもアクセスしないよう、ご注意願います。

オンラインゲームの場合は、アイテムを不正売買RMT(Real-Money Trading)するため。オークションサイトの場合は不正出品のため。さらに、メールの場合は、文中にあるプライバシー情報や企業情報を盗み出せますし、プロバイダーのアクセスアカウントの場合は、迷惑メールを送信するために使うこともできる。など、お金目的である悪意のある人たちにとって、ユーザのパソコンの中には、おいしい情報が溢れています。

「キーロガーに感染すると、ユーザが閲覧・入力したものが送受信とも記録され、プライバシーが全く失われる。注意した方がよい。」という話を聞いたこともあります。

PCにマルウェアを侵入させないために

このように、「メールを使ってキーロガーやボットなど偽装サイトに誘導」といった攻撃から身を守り、さらには、「万が一それらにアクセスしてもPCに侵入させない」ためにはどのように対策すれば良いでしょうか?

  • 迷惑メールフィルタを使用する
  • メールの中のアドレスにむやみにアクセスしない
    迷惑メール中のアドレスには危険がいっぱいです。メールを受信したとき、たとえそれが迷惑メールであっても中を見てしまう可能性があります。迷惑メールはなるべく見ない、アクセスしないを徹底しましょう。
  • PCを最新の状態にアップデートする
    キーロガーやボットは、OSやアプリケーションの脆弱性を使用して侵入します。Windows UpdateでOSを、さらには使用しているアプリケーションなどもアップデートして、PCを常に最新の状態に保ちましょう。
  • アンチウイルスソフトおよびWeb proxy型アンチウイルスを導入する
    アンチウイルスソフトや前回ご紹介したWeb proxy型アンチウイルスを導入しましょう。偽装サイトに万一アクセスしても、Web proxy型アンチウイルスならキーロガーやボットを防いでくれる可能性が高くなります。
  • 自分のPCを過信しない
    日銀レビューの中でもありますが、自分のPCの対策についてどのようなリスクが残っているかを自覚し、油断することがないようにしましょう。アンチウイルスソフトが100%守ってくれるとは限りません。Windows Updateを実行しているからOSが安全とも限りません。ご自身の利用環境や使用パターンを考え、リスクを回避するようにしましょう。

プロフィール:伊藤求(いとうもとむ)

ニフティ株式会社所属。神戸大学学術情報基盤センター助手から有限責任中間法人 JPCERTコーディネーションセンター運用グループマネージャを経て現職。安心・安全なインターネットのため、少しでも社会貢献できないかと考え、コラムで情報発信をしています。

趣味はコンピューターセキュリティ最新動向のチェイシング。現在 ボットネットとも格闘中(笑)