フィッシング
フィッシングとは
フィッシングは造語で,fishing(釣り)ではなく phishingと書く. 騙して釣り上げることと,手口が洗練されているという意味が含まれている. 実在する企業(銀行やクレジットカード会社などの金融機関,電子商取引をする事業者)の Webサイトを模して作り上げた偽サイト(フィッシングサイト)へユーザーを誘導し,クレジットカードに関する詳細な情報や,登録してある ID・パスワードなどを入力させて騙し取るのがフィッシング詐欺である.
特定の個人や団体を狙うフィッシング詐欺をスピアフィッシング(spear phishing)という.相手の素性を調べた上で,関係者を装ってパスワードなどの個人情報を聞き出すなどの手口が採られる.スピア型攻撃とも言う.
フィッシング攻撃
フィッシングを行う手口には,次のような方法(フィッシング攻撃)がある.ウィルスやワームなどのマルウェアも利用される.
- 正規の機関や人を装ってメールを送り付け,メッセージ内容を信じ込ませて偽サイトへ誘導したり,ID,パスワードなどを送信させるいわゆるソーシャル・エンジニアリングである.メールにスパイウェアなどを添付することもある.
- 脆弱性のある DNSサーバ内部のアドレス情報を書き換え,真正のホスト名に対して偽の IPアドレスを返すように動作を変更する.これにより,本来のサイトに対して有効なリンクを辿っているにもかかわらず,攻撃者の設置した予期しないサイトに誘導する(ファーミング:Pharming).
- ルーターをクラックしてインターネット上でルーティングされる IPパケットを恣意的に制御し,フィッシング攻撃に応用する.
- パソコン内の通信制御(ルーティングテーブル,名前解決 API等を乗っ取ったり書き換えたりし,リンク先とは違うサイトを開かせる.
- hosts ファイルを書き換えて偽の DNSサーバを参照させ,偽のサイトへ誘導する.
- 無線LAN のホットスポットに紛れ,偽の DNSサーバに接続するよう設定された罠のアクセスポイントを設置する.
フィッシング対策
- 正規の Webサイトであるかブラウザの URL を確認する.ただし,Webブラウザのセキュリティホールなどによりアドレス欄などに表示される URL が偽装されている場合がある.
- メールのリンクをむやみにクリックしない.
金融機関(銀行・保険・カード会社など)のサイトで口座番号や暗証番号,個人情報を入力するサービスを利用する場合,金融機関から通知を受けている URL をブラウザから直接入力し,金融機関のホームページを開く.
- SSL/TLS のセキュリティ機能が利用されているか確認する.ただし,SSL/TLS のセキュリティを取得した新手のフィッシングサイトもあるので要注意(EV SSL証明書 が使われていれば,安全性は高い).
- 個人情報の入力を Web 上で求めるメールを受信したら,契約している金融機関へ問い合わせて確認する.
金融機関では,メールにて口座番号や暗証番号,個人情報を問い合わせる事はない.これら項目を尋ねてくるメールはフィッシング詐欺と考えられる.
- セキュリティソフトによる偽サイト(フィッシングサイト)などの不正サイトへの接続をブロックする.
- セキュリティソフトによる「個人情報保護機能」であらかじめ登録した情報の不用意な送出を検出,防止する.
- メールアドレスのドメインを見て,それがが正規のサーバから発信されているか否かを検証する 送信ドメイン認証技術がある.プロバイダなどのメールシステム提供者がドメイン認証技術に対応することにより,フィッシング詐欺や迷惑メールの排除に有効となる.
- フィッシング対策協議会(council of Anti-Phishing Japan)
フィッシング対策協議会は,フィッシング詐欺に関する事例情報,技術情報の収集及び提供を行っており,日本国内におけるフィッシング詐欺被害の抑制を目的として活動している. フィッシングサイトの URL 情報の提供なども行っているので,このサイトの情報も参考にする.
SSL/TLS(以下 SSL)は,現在インターネットの世界でもっとも普及している暗号化プロトコルであり,インターネット上での商取引におけるクレジットカード番号等の機密情報を保護や個人情報の保護といったデータ通信の暗号化機能だけでなく,Webサイトを認証する機能も持っている. Webサイトの認証機能は,フィッシング対策等に非常に有効な手段の1つである.これは,SSL の機能を有効にするための電子証明書 (SSL 証明書) が認証局によってサイト運営者を認証した上で発行されているためである. しかし,SSL で使われる電子証明書の信頼性が最近低下してきている.認証局が電子証明書を発行するときの審査内容は,各認証局によって異なっている.また,認証局の信頼性の違いをエンドユーザ側が容易に確認できる方法がない.そのため,審査の緩い認証局から身元を偽って取得した証明書がフィッシング・サイトに使われるケースが増加している.このため,SSL を使っているから安全とは言えなくなってきている.
こうした現状を受けて,認証局と Webブラウザのベンダーで構成する業界団体 CA/Browserフォーラムでは,利用者の身元情報などをより厳格に審査をしたうえで証明書を発行する「EV(Extended Validation)証明書ガイドライン」を策定した.この目的として,以下が挙げられている.
- 主目的
- Webサイトを運営する組織の法的実在の確認
ブラウザを使用するユーザがアクセスしているWebサイトが EV SSL証明書に記載の名前,事業所所在地の住所、法人設立管轄地,登録番号で特定される法人によって運営されていることをそのユーザに対して合理的に保証する.
- Webサイトとの暗号化通信の有効化
ブラウザのユーザとWebサイト間のインターネットを介した情報の暗号化通信を可能にするための暗号鍵の交換を容易にする.
- 副次的目的
- SSL 証明書を使用するフィッシング詐欺およびその他のオンラインアイデンティティ詐欺の実行をより困難にする.
- 企業のアイデンティティや Webサイトの正当性を確認する手段をユーザに提供することにより,フィッシング攻撃やオンラインアイデンティティ詐欺の標的となる企業を支援する.
- 適用可能な場合、サブジェクトに対する連絡、調査、法的措置を実行することで当局によるフィッシングおよびその他のオンラインアイデンティティ詐欺の調査を支援する.
ガイドラインでは,企業の実在性の確認,ドメイン名情報の確認,担当者の権限の確認,書面での署名・捺印の実施など,以下のような審査項目を細かく定めている.
- 申請者の法的存在およびアイデンティティ(本人であること)の確認
- 申請者の物理的存在および事業の存在確認
- 申請者のドメイン名の確認
- 契約書署名者および証明書承認者の名前,役職,権限
このガイドラインに基づき発行されるのが「EV SSL証明書」である.EV SSL証明書では,技術的要件として,持ちいるべき暗号アルゴリズムと鍵サイズ,および証明書に要求される証明書エクステンションが決められている.
発行された EV SSL証明書には,それが EV SSL証明書であることを示す認証局ごとの識別子情報が記述される.Webブラウザは,この識別子情報をチェックして証明書が EV SSL証明書であることを認識できる.
利用者が EV SSL証明書に対応した Webブラウザを使うと,従来の SSL証明書より多くの情報を EV SSL証明書から確認できる. 対応 Webブラウザで EV SSL 証明書により保護された Webサイトにアクセスすると
- アドレスバーが緑色になる.
- Webサイトの運営主体の組織名と EV SSL証明書を発行した認証局名が表示される.
など見え方が異なっており,サイトの安全性の確認が行える(ブラウザにより表示は異なる).