NTTコミュニケーションズ

Bizコンパス

巧妙化する最近のフィッシングの傾向と効果的な対策
2019.10.09

今知っておきたいITセキュリティスキルワンランクアップ講座第16回

巧妙化する最近のフィッシングの傾向と効果的な対策

著者 北河 拓士

 国内でのフィッシングの被害が相次いでいます。本連載でもフィッシング対策について何度か触れてきましたが、再度それらをまとめてみたいと思います。

 

フィッシングとは?

 フィッシング(Phishing)とは、実在する組織を騙ったメールなどにより、本物そっくりの偽サイトに誘導し、アカウント情報(ユーザID、パスワード等)やクレジットカード情報を入力させ、騙し取る行為です。

(マルウェアに感染させることを目的としたメールも、フィッシング・メールに含めることもありますが、今回はアカウント情報やクレジットカード情報を詐取するものに限定します。)

 最近では、スマートフォンのSMS(ショート・メッセージ・サービス)を用いたフィッシングも増えており、SMSとPhishingを合わせてスミッシング(Smishing)と呼ばれることもあります。

 フィッシングでアカウント情報やクレジットカード情報を詐取されると、個人情報の悪用や、口座からの送金や物品購入、クレジットカードの不正利用などの金銭被害が生じる恐れがあります。よって、危険性や正しい対処法を理解し、警戒を怠らないことが重要です。

 最近のフィッシング攻撃は非常に巧妙になっていると言われます。その特徴を見てみましょう。

 

【最近のフィッシングの特徴1】不自然さのない日本語が使われている

 以前は、フィッシング・メールは英語や機械翻訳したような不自然な日本語のものが多く、あやしいメールに注意していれば防ぐことができました。しかし、現在では、日本語として不自然さのない文面のものが増えています。過去に送信された正規のメールをコピーして利用されることもあり、文面だけでフィッシングと容易に判断できなくなっています。

 

【最近のフィッシングの特徴2】メールクライアントに表示される差出人は正規のものが使われる

 メールクライアントに表示される「送信元」は、偽装が可能と思って下さい。フリーメールのアカウントや類似のドメインのアカウントからフィッシング・メールが送信されることもありますが、正しい「送信元ドメイン」であってもなりすまされている可能性があります。

 メールの送信元(From)には「エンベロープFrom」と「ヘッダFrom」の2種類が存在します。郵便の封筒に書かれた差出人に相当するのが「エンベロープFrom」で、封筒の中の便箋に書かれた差出人に相当するのが「ヘッダFrom」です。メールクライアントに表示される送信元は「ヘッダFrom」の方です。「ヘッダFrom」は送信者が自由に設定できるため、簡単になりすまし可能です。

 送信ドメインを検証するSPF(Sender Policy Framework)という仕組みは、日本でもかなり普及しています。SPFはインターネット標準(RFC)では、「エンベロープFrom」の検証が必須とされており、メールクライアントに表示される「ヘッダFrom」は検証しません(ただし、ドコモのように「ヘッダFrom」をSPFで検証している独自の実装もあります)。

「ヘッダFrom」の偽装を防ぐ仕組みとしては、DKIM(DomainKeys Identified Mail)やDMARC(Domain-based Message Authentication, Reporting & Conformance)もありますが、現時点では日本でのDMARC普及率はまだ低く、特に送信側でDMACRポリシーを「reject(拒否)」に設定しているところや受信側でDMARCポリシーに基づいて処理を行っているところはごく少数です。よって、「ヘッダFrom」の偽装が受信側で拒否されることは現時点ではあまり期待できません。

 メールのヘッダ情報を詳しく見れば、「送信元」が偽装されているかどうかを判断することは可能ですが、ある程度の専門知識が必要で、一般の人が判別するのは難しいでしょう。

 

【最近のフィッシングの特徴3】SMSの発信元も正規と同じものが使われることがある

 SMSを利用したフィッシングでは、利用にあたっての審査もなく、匿名や偽名で利用可能な国際網経由の海外のSMS配信サービスが使われることが多くなっています。海外のSMS配信サービスでは、送信元に任意のアルファベットを指定できるものもあるため、実在する組織名を発信元としたフィッシングSMSが送信されることがあります。

 正規のSMSがアルファベットの発信元を使用している場合、同一の発信元を使われるとスマホのメッセージアプリでは同一のスレッドに表示されるため発信元だけでは本物かの区別がつきません。

ドコモ公式を装ったSMSのフィッシングの例
(https://www.nttdocomo.co.jp/info/spam_mail/column/20190617/より)

 

【最近のフィッシングの特徴4】フィッシング・サイトは本物と見分けがつかない

 本物のWebサイトのコンテンツを複製すれば、全く同じ見た目の偽サイトを簡単に作成することが可能です。よって、サイトの見た目から本物のサイトかフィッシング・サイトかを判断することは困難です。

 

【最近のフィッシングの特徴5】フィッシング・サイトにもHTTPSが使われている

 かつてはフィッシング対策として、アドレスバーに「鍵マーク」が表示されていることを確認することとのアドバイスがされたこともありました。以前はサーバー証明書の発行には少なくとも数万円の費用がかかったため、短期間で閉鎖されるかもしれないフィッシング・サイトが手間や費用を掛けてサーバー証明書を購入してHTTPS対応することは非常に稀だったからです。

 しかし、現在ではHTTPのサイトにはブラウザに「保護されていない通信」や「安全ではありません」などの警告が表示されるようになったことや、DV証明書を無料で発行するLet’s Encryptができたことで、フィッシング詐欺サイトもHTTPS対応することが増えています。単に「鍵マーク」が表示されることを確認するだけでは本物のサイトであるとは言えなくなっています。

 フィッシング対策企業PhishLabsによると、2019年第1四半期時点でフィッシング・サイトの58%がHTTPSを使用しているとのことです。(More Than Half of Phishing Sites Now Use HTTPS)

 

フィッシングの対策

 フィッシングに対する対策を以下に示します。どれか1つだけで完全に防げる特効薬はなく、複数の対策で多段階に備える必要があります。

 

フィッシングの手口を知る

 フィッシングでは「宅配便業者を騙るSMS」など、同じ手口が一定期間継続して繰り返されます。現在、継続して行われているフィッシングの事例を知ることで同じ事例に遭遇した時にフィッシングと気づくことができます。また、典型的なフィッシングの手口を知ることで、過去の事例にはない新規のものであってもフィッシングかどうかを見極める判断力を高めることができます。

 最近のフィッシングの事例に関しては、フィッシング対策協議会日本サイバー犯罪対策センターのサイトで確認できますので、継続的にチェックを行うと良いでしょう。

 

注意喚起サイトや公式サイトの情報を確認する

 疑わしいメールやSMSを受け取って判断に迷う時は、フィッシング対策協議会日本サイバー犯罪対策センターのサイトを確認して同様なフィッシングの事例がないかを確認しましょう。

 また、各組織の公式サイトや公式SNSアカウントにフィッシングなどについての注意喚起が掲載されていることもあるので、メールやSMSの送信元の公式サイトや公式SNSアカウントにアクセスして注意喚起が掲載されていないかを確認しましょう。

 メールやSMSに記載されている連絡先は偽物の可能性があります。メールやSMSに記載されている連絡先に問い合わせたり、返信をしたりすることは避けましょう。

 

メールやSMSのリンクは安易にクリックしない

 メールやSMSに記載されたURLのリンクは、フィッシング・サイトへの誘導に使われることもあるため、安易にクリックすることは避けましょう。

 よく使うサイトやユーザー登録したサイトは、正しいURLをブックマーク(お気に入り)に登録しておき、ブックマークから呼び出してアクセスしましょう。スマホの公式アプリがある場合は公式アプリを使ってアクセスすればフィッシング・サイトに誘導されることはありません。

 

正しいURLであることを確認する

 やむを得ずリンクからアクセスする場合は、正しいURLであることを必ず確認しましょう。特にHTML形式のメールの場合は、見た目上のURLと実際にアクセス先となるURLが異なる場合がありますので、リンクの上にカーソルを重ねるなどをして、アクセス先が正しいURLであるかを確認しましょう。

 リンクからアクセスした後も、入力をする前にブラウザのアドレスバーのURLが正規のものかを再度確認しましょう。

 

警告画面を無視してアクセスしない

 主要なブラウザにはフィッシング・サイトやマルウェア・サイトに警告を表示してブロックする機能が用意されています。Chrome/Firefox/SafariではGoolgeによるSafe Browsing。IE/EdgeではMicrosoftによるSmartScreenと呼ばれる機能が組み込まれ、デフォルトで有効になっています。

 これらによる警告画面が出た場合には、警告を無視してアクセスをしないようにしてください。

 ただし、フィッシング・サイトが出現してから、これらのブラックリストに登録されるまでには、ある程度のタイムラグがあります。よって、警告が出ていないからといって安心せず、常に正しいURLであることを確認するようにしてください。

ChromeのSafe Browsingによるフィッシング・サイトの警告

 

2段階認証を設定する

「2段階認証」が設定可能なサービスには「2段階認証」を設定しましょう。「2段階認証」は「リスト型攻撃」などのパスワード推測攻撃だけでなく、フィッシングに対しても有効な対策です。

「2段階認証」の方法にも様々な方法がありますが、代表的なものはSMSでの「2段階認証」です。ID・パスワードでの認証が成功すると、登録した電話番号にSMSで1回きり(ワンタイム)の認証コードが送信されます。認証コードを入力することでログインが許可されます。

「2段階認証」は面倒だと思われるかもしれませんが、ほとんどのサービスでは、認証コードの入力時に「信頼できる端末」として登録すれば、次回のログインからは「2段階認証」を要求されることはありません。

 攻撃者がフィッシングなどにより入手したID・パスワードでログインしようとした場合は、「信頼されていない端末」からのログインとなるため「2段階認証」が要求されます。しかし、登録された電話番号の端末が攻撃者の手元にはないため、SMSでの認証コードを受信することができません。

 SMSでの「2段階認証」にも、フィッシング・サイトに入力されるデータをリアルタイムに本物のWebサイトに中継することで認証コードを窃取する攻撃や、携帯電話事業者のカスタマーサポートを騙して電話番号自体を犯人のSIMカードに移転する攻撃(SIMスワップ)、 電話網制御のプロトコル(SS7)の脆弱性を利用してSMSのメッセージを横取りする攻撃などが既に行われており、万全というわけではありません。(ただし、SIMスワップやSS7の脆弱性を利用した攻撃に関しては日本での攻撃例は現在のところ報告されていません)

 しかし、2019年5月にGoogleとニューヨーク大学、カリフォルニア大学サンディエゴ校が発表した調査によると、SMSの「2段階認証」でボットによる自動攻撃の100%、大量フィッシング攻撃の96%、標的型攻撃の76%を阻止できたとされています。フィッシング攻撃を100%阻止できる訳ではないものの、「2段階認証」を設定していない場合に比べれば、十分に効果があると言えるでしょう。

 もしサービス側が対応しているのならば、「プロンプト方式」や「セキュリティ・キー」を利用した「2段階認証」を設定すれば、より強固になります。ただし、SMSの「2段階認証」にはスマートフォンの故障や紛失の場合も同じ電話番号を新しい機器に移行できれば問題なく使えるというメリットもあります。SMS以外の方法を設定する場合は、機器の紛失などの場合にどのような回復方法があるかを調べてから設定を行うようにしましょう。

「プロンプト方式」は、ログイン時にスマートフォンのアプリに「ログインしようとしていますか?」などのメッセージが表示され「はい」をタップすることでログインを承認する方式です。Googleらによる調査では、ボットによる自動攻撃の100%、大量フィッシング攻撃の99%、標的型攻撃の90%を阻止できたとされています。

「セキュリティ・キー」は、物理的なデバイスをUSBポートに挿入することや、BluetoothやNFCに近づけることで認証を行う方式で、Googleらによる調査では、すべての攻撃を100%阻止できたとされています。

2段階認証の方式によるアカウント乗っ取りの阻止率の違い
https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html より引用

 

パスワード管理ソフトやブラウザのパスワード保存機能を利用

 自分で考えたパスワードを記憶するのではなく、パスワードジェネレーターで生成した使い回しのないランダムなパスワードをパスワード管理ソフトブラウザに保存することは、「リスト型攻撃」などのパスワード推測攻撃の対策だけでなく、フィッシングに対しても有効な対策となります。

 複雑なパスワードを設定していても、記録したメモを見ながら手で入力したり、電子ファイルに保存したものをコピペして入力したりするのでは、類似ドメインのフィッシング・サイトにID・パスワードを入力してしまうことを防ぐことはできません。

 パスワード管理ソフトやブラウザのパスワード保存機能を利用している場合は、ログイン時にはパスワード管理ソフトやブラウザがログインフォームを認識し、ID・パスワードを自動入力してくれます。人の目には本物と見分けが難しい類似ドメインのフィッシング・サイトでも、パスワード管理ソフトやブラウザなどのプログラムではURLが完全一致しない限りは自動入力されません。自分ではパスワードを記憶していないので手動での入力もできず、フィッシング・サイトにパスワードを入力してしまうことを防げます。そこで再度URLを注意深く確認すればフィッシング・サイトであると気づくことができます。

 前述したフィッシング・サイトに入力されるデータをリアルタイムに本物のWebサイトに中継することでSMSの「2段階認証」の認証コードを窃取する攻撃に対しても、1段階目のフィッシング・サイトにID・パスワードを入力する段階で防ぐことが可能です。

 パスワード管理ソフトやブラウザのパスワード保存機能を利用していて、ID・パスワードが自動入力されない場合は、フィッシング・サイトである可能性があることを認識しておき、手入力やコピペでID・パスワードを入力しないようにしてください。

北河 拓士

北河 拓士

NTTコム ソリューションズ株式会社
マネジメントソリューション本部 セキュリティソリューション部

コンピュータベンダーでのシステム開発、セキュリティベンダーでのセキュリティコンサルティング、脆弱性診断などを経て、2010年よりNTTコミュニケーションズのセキュリティサービスWideAngleにて、脆弱性診断を担当

この記事が気に入ったらクリック!

お気に入り登録

この記事で紹介しているサービスについて

SHARE

関連記事

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」