〇 情報処理推進機構(IPA)は2023年1月25日、「情報セキュリティ10大脅威 2023」を公開した。
セキュリティーの専門家や企業のセキュリティー担当者が、2022年に発生した事案から注意すべき脅威をランキング形式で選んだものだ。ランキングは個人向けと組織向けに分けられ、個人向けの1位は2年連続で「フィッシングによる個人情報などの詐取」だった。
フィッシング(phishing)とは、実在する企業や公的機関などを装ったメールやSMSを送り付け、正規のWebサイトを模倣したサイト(フィッシングサイト)に誘導して、認証情報やクレジットカード情報、個人情報を詐取する行為だ。釣りの「fishing」が語源ともいわれ、油断していれば誰もが「釣られて」しまう。
今回はフィッシングの現状やよく使われる手法を把握し、フィッシングを防ぐ対策を見ていこう。
フィッシングの現状。
フィッシング対策協議会が2023年2月6日に発表した2023年1月に同会が報告を受けたフィッシング事案の報告書では、フィッシングに悪用されたブランドは76個だった。最も報告件数が多かったブランドは「Amazon」で全体の44.6%。次いで「ETC利用照会サービス」「セゾンカード」「PayPayカード」が続いた。SMSに絞ると、宅配便の不在通知を装って「Apple」のフィッシングサイトに誘導するタイプと、携帯電話のキャリアを装ったタイプが多かったとしている。なお、SMSを使ったフィッシングはメールを使うフィッシングと区別して「スミッシング」と呼ばれることが多い。
フィッシングメールやスミッシングは、受信者を焦らせる文面が多い。タイトルや本文に、「緊急」や「重要」といった言葉が並び、「あなたのアカウントが不正利用された。ただちに停止措置をとってほしい」「久しくアクセスしていないのでこのままでアカウントを削除する」といった趣旨の文言が並ぶ。本物と同じロゴマークを使い、リンク先のWebサイトも本物とそっくりのデザインであることもあり、パッと見で偽物と判断するのは難しい。
次は筆者のもとに届いた「Amazon」を装ったフィッシングメールである。筆者のアカウントを使って商品を購入した人がいると書かれている。具体的な住所や名前が書かれているので、実際に不正ログイン被害に遭ったように見える。「え、まじか?」「急いでキャンセルしなきゃ」と思って、メール内のリンクをクリックしたら攻撃者の思うつぼだ。いつも使ってブックマークからAmazon.co.jpの購入履歴を確認すると、通知されたような事実はなかった。なお、Googleマップを使ってメールの住所を確認すると、実在し集合住宅のようだった。個人宅だと名前が一致しないなどの理由で詐欺だとバレやすくなるため、集合住宅を選んだと思われる。名前は架空だろう。
フィッシングに施された工夫。
フィッシングメールがだまそうとする手口は巧妙な文面だけではない。我々が違和感を覚えないようにするために、さまざまな工夫が凝らされている。
(1)リンク先のURLを見せない。
上に示したAmazonを装ったフィッシングメールはHTML形式のメールで、「注文の詳細を表示する」という部分がリンクになっているが、リンク先URLはこのままでは確認できない。
また、次に示した銀行を装ったメールは一見、テキスト形式のメールに見えるが、実はHTML形式である。文面に示されたURL部分がリンクになっているが、実は表示されたURLはリンク先ではない。HTML形式のメールでは表示する文字列とリンク先を別々に設定できるため、受信者にリンク先を隠すことができる。
ただ、この2つのフィッシングメールは、リンク部分にマウスカーソルを合わせるとリンク先を表示する機能を持つメーラーを使うことでフィッシングだと見破ることができた。
(2)似たようなドメインを利用する。
次は、フィッシング対策評議会が2023年2月3日の注意喚起で示したフィッシングメールを見てみよう。「ビックカメラ」をかたるフィッシングメールの文面にあるURLが紹介されている。
ビックカメラの通販サイト「ビックカメラ.com」のURLは「https://www.biccamera.com/」であるのに対して、フィッシングメールのURLは「https://www-biccamera-com.●●●●.com」である。「.(ピリオド)」の代わりに「-(ハイフン)」を入れて、正規のURLと誤認させようとしたみられる。
攻撃者は見た目が似たURLを取得し、我々をフィッシングサイトに誘導しようとする。似たような攻撃手法で、「ホモグラフ攻撃」と呼ばれるものがある。まずはテキストエディターに表示した文字を見比べてほしい。
パッと見はどちらも「Google」に見えるかもしれないが、実は上のほうは「l(小文字のエル」を「1(数字のイチ)」に変えている。こうした見た目が近い文字に置き換えてユーザーを誤認させる攻撃をホモグラフ攻撃という。ちなみに、米Google(グーグル)は「google.com」のほかに、「goog1e.com」も取得している。ホモグラフ攻撃によってユーザーが被害を受けないよう防止する目的で取得したとみられる。
(3)Googleの翻訳を利用する。
リンク先が見たこともないドメインであることに気が付けば、フィッシングメールと判別できるだろう。攻撃者はこれに対抗して、Google翻訳機能を使ってリンク先をGoogleであるかのように誤認させる攻撃が見つかっている。
例えば、筆者が管理するWebサイトのURL「https://west-sec.com」を、次のように記述しても筆者のサイトに飛ぶ。
https://translate.google.com/translate?sl=auto&tl=ja&u=https://west-sec.com
この1文にある「sl=auto」は翻訳前の言語を自動認識し、「tl=ja」は日本語に翻訳する指示を表す。そして、最後の「u=」で指定したURLのWebページを翻訳し表示するという意味である。だから、筆者のサイトに飛ぶわけだ。
(4)ドメイン認証をパスしている。
メールには、送信元の確からしさを確認するドメイン認証という仕組みが用意されている。具体的には、SPFやDKIM、DMARCといった技術を使ったものだ。ドメイン認証をパスするには、対応したメールサーバーを用意したり、送信元のIPアドレス・ドメインをDNSサーバーに登録したりといった手間がかかる。
攻撃者がドメイン認証をパスするために手間をかけてまでフィッシングメールを送ってこないだろう、と考えると痛い目に遭う。ここに挙げた3つの技術のドメイン認証をパスしたフィッシングメールが増えている。パスしたかどうかだけで判断するとフィッシングに「釣られる」だろう。
フィッシングメールは必ず届く、では見分けるポイントは?
フィッシングメールについては、プロバイダーのメールやGmail・Yahoo!メールといったメールサービスを使っている場合、サービス事業者がフィッシングと判断したメールを隔離したり削除したりしてくれる。しかし、そうした目をかいくぐってユーザーの受信トレイに届くメールは珍しくない。では、どうしたらフィッシングの被害に遭わなくなるか。
1つ目の方法としては、怪しいと思ったり違和感を覚えたりしたメールは開かないことである。フィッシングメールはロゴを流用したり、実際の送った文面をまねたりしているが、どこかいつもと異なるところがあれば、すぐに開くのはやめたほうがよい。
2つ目は、ドメイン認証の結果をよく見ることだ。前述したようにSPFやDKIM、DMARCをパスしたフィッシングメールが増えている。ただ2022年11月に公開されたフィッシング対策協議会の資料によると、フィッシングメールの8割以上はDMARCで検出可能としている。
注意してほしいのが、ドメイン認証の結果を確認するときにDKIMで認証された送信元のドメインも見ることだ。次の図で示したメーラーで表示されるドメイン認証の結果は、正規の送信元から届いたメールかどうかを判断したものではない。ドメイン認証技術を使って、SPFでは送信元のIPアドレス、DKIMでは送信元のドメインを確認できたという意味だ。このIPアドレスやドメインから、正規の送信元かどうかを判断する必要がある。IPアドレスはパッと見で判断が付きにくいので、ドメインを見て、正規かどうかを確認するとよいだろう。
最後の対策として挙げるのは、利用するWebサービスのセキュリティー機能をオンにしておくことだ。例えば、2要素認証を有効にしているサービスのフィッシングメールが届いたとする。攻撃者はユーザーが2要素認証を有効にしているかどうか分からないため、フィッシングサイトではIDとパスワードだけでログインできるようにしているかもしれない。そうなっていたら、「あれ、2要素認証が有効になっていない」と気付ける可能性がある。また、IDとパスワードだけが窃取されても、攻撃者はログインできないだろう。ただし、SMSを使った2要素認証を備えたフィッシングサイトも見つかっているため、この対策も完璧ではない。
フィッシングメールは今後も必ずやってくる。それでも、複数の対策を組み合わせれば最小限に抑えられるようになるだろう。
