釣り師を吊りあげろ(Anti-Phishing Info)

Phishingって何よ?

"Phishing"という単語を最近よく目にしますが、普通の辞書を引いてもこんなへんてこなつづりの単語は出てきません。魚釣りのFishingと発音は同じですが、ユーザを釣るためのメールがsophisticated(洗練されている)からだとか。一般的には、差出人を偽装した電子メールを使って受信者を偽の(ただし、デザインが似ている)Webに誘導し、クレジットカード番号やアカウント名、パスワードなどの情報を盗み取る行為のことを言うようです。

釣り師の技

手元に届いたものしか実例を挙げられないのですが、基本的なワザは

メールアドレスの偽装
もっともらしいアドレスからメールを送ったかのように見せかける。たとえば、VISAの名をかたる餌では、「update@visa.co.jp」という名前で送られてきていました。メールを読むときに表示される送信者アドレスは自由に設定できますので、送信者の名前を信じちゃいけません。
リンク先アドレスの偽装
釣り師はそのへんのISPに使い捨てのアカウントを作って勝手にサーバを接続していることが多いので、自分のドメインなんか使わないのが普通です。そうなると、IPアドレスを直接書いたURLへのリンクでないと獲物を誘導できないのですが、リンクの上にマウスポインタを持っていくとブラウザのステータスバーにリンク先アドレスが表示されてしまいます。IEには便利なことにステータスバーに表示されるアドレスを偽装できるセキュリティホールつきバージョンもありますので、そのへんを利用したり、スクリプトを使って積極的にステータスバーに偽URLを表示したりいろいろな技術が開発されているようです。表示されるアドレスを信じちゃいけません。
ポップアップ画面の利用
餌メールの中に埋め込んだURLをうまくクリックさせたとしても、とんだ先が「いかにももっともらしい」ことが重要です。このために開発された技法のひとつがポップアップ画面の利用です。CITIBANKの名をかたる餌では、メイン画面には本物のCITIBANKのWebを表示させておき、ステータスバーとアドレスバーを消したポップアップ画面の中に引っ掛け用のフォームが入っているというものもありました。この表示形式は実際にインターネットバンキングなどでよく使われているのでダマシ効果が高いようです。ポップアップ画面は疑いましょう。

あたりではないかと思います。報道によると、正しいサイトのセキュリティホールを使って誘導するような高度なものも出てきているという話なのでまだまだ技術開発は進んでいる途中のようです。

釣られないために心がけること

人間としての常識を持とう

重要な情報を電子メールで送る奴は変
電子メールは封書じゃなくて葉書みたいなものです。葉書に普通に書いて送れないような内容のことを電子メールで送ってくる奴がいたら、それは変です。変なものを変と感じる常識が実はとても大事。まぁ、ときには目隠しシールもなしで葉書にクレジットカード番号を書いて送れと言ってくる某大手金融機関もあったりしますので非常識な奴との付き合いも必要かもしれませんが(私は電話かけて本気かどうか聞いちゃいましたよ。何を聞かれたのかもわかんなかったみたいだけど)。コンピュータ嘘つかない、でもコンピュータの向こうの人間うそつき一杯。
メールの差出人を信じるのはやめよう
電子メールは古きよきインターネットの時代に作られたものなので、悪い奴への対応ということはほとんど考えられていません。差出人の欄は何だってかけます。私がbg@microsoft.comというアドレスでメールを出すことだって可能です。差出人を証明する枠組みも技術としては存在しますが、私のところにメールを送ってくる銀行でS/MIMEを使った差出人認証をつけてきている会社は1社もないようです。マトモなサービス会社が身元をちゃんと証明するようにしてくれると、胡散臭い餌が見分けやすくなると思うんですけどねぇ。最近、お取引があるような銀行(いわゆるメガバンク)でS/MIME署名なしのメールを送ってくる会社はさすがにありません。皆さんちゃんと署名つきになりました。とてもめでたい。
心当たりがないメールは疑おう
「個人情報を入力しないとアカウントは失効します」みたいなメールがまともなサービス会社からいきなり送られてくることは普通ありません。取引に必要な個人情報なら取引開始時に集めているでしょうし、あとから追加で情報が必要になったとしたら利用契約の変更になるわけですからその旨説明があるべきです。説明もなしに「クレジットカード番号クレクレ」と言ってくる奴は怪しすぎ。

ちょっとしたチェックを行おう

ページのプロパティを確認しよう
ステータスバーやアドレスバーを消されたポップアップ画面が本当はどこに繋がっているのかを調べるためには、画面を右ボタンクリックして表示できる画面プロパティを確認するのが多分一番確実な方法です。まともな会社なら、クレジットカード番号などの個人情報を入力させるページが暗号化通信を使っていないことはありえません。万が一、あなたが使ってるカード会社が本当に暗号化してないページでカード番号や個人情報を入力させるとしたら、いまどきセキュリティ意識が相当低い会社だと考えていいと思います。Phishingサイトは証明書なんか取れないのが普通ですから、暗号化通信は使ってないケースが多いようです。ただし、画面の中には「SSL128bitで安心」などと書いてあります。
暗号化通信の証明書を確認しよう
SSLによる暗号化通信では、一般的にサーバの素性を明らかにするサーバ証明書というものを証明機関(CA)から発行してもらいます。証明機関自体が信用できるかという問題はさておき、証明書には通常その証明書が発行されたサーバ名や発行先組織の概要が含まれています。この情報があなたの通信したい相手の組織と一致しているかどうかを確認することはとても大事なことです。もっとも、日本の大手金融機関でも本店が名古屋にあるのに東京にあるシステム部が証明書を申請しているので組織の住所が東京になっているというケースもあったりするので、どこまで一致したら「本物」かは悩ましいところです。  
最近はSSLの証明書発行会社も多様になってきています。中には簡単発行をウリにしている会社もありますので、「SSL証明書を発行する際にどの程度の実在性確認を行っているか」という点については十分注意が必要です。いずれにせよ、SSL証明書が証明できるのは、せいぜい発行先の組織(会社)が実在しているところ程度で、その会社がいい会社か、悪党の会社かということまでは確認できません。為念。
違う方法でチェックしよう
なんの説明もなくアカウント停止みたいなメールが来た場合は、電話(正しいことが分かってる番号を使うこと)なりWeb(URLはメールに入ってたものではダメ。素性が分かってるURLをつかう)なりで連絡をとってチェックしましょう。

釣り餌倉庫

私のところに届いたPhishingメールで、たまたま接続できたもの(Phishingサイトは ISPが見つけると切られちゃうので、届いたばかりの鮮度がいいメールを見つけないとなかなか接続できません)の画面ショットです。出来がいいのもあるし、悪いのもあります。今のところ日本語のは1通しか届いていませんが、現時点では「こんなので引っかかる奴いるのかい」という程度の出来。CITIBANKモノはなかなか洗練されたものが多いようです。


本ページにアダルトコンテンツ、XXXコンテンツ類は一切含まれていません。暴力反対。

©2004, OGAWA, Hiroshi Santa <santa123@olab.org>