フィッシング対策の業界団体である「APWG(Anti-Phishing Working Group)」のピーター・キャシディ事務局長が来日。昨年12月にAPWGのスポンサーとなったセキュアブレイン開催の説明会で,米国におけるフィッシング詐欺の現状と対策への取り組みを語った。

 同氏によると,昨年11月にAPWGに報告されたフィッシング・サイトは1707件。同10月の1546件に比べて約10%増加した。フィッシング詐欺は依然として増えており,名前を騙られる企業の数も増加傾向にあるという。手口も高度化してきている。大半は,金融機関などになりすましたメールをユーザーに送信し,偽装したWebサイトに誘導して口座番号やクレジットカード番号などの個人情報を入力させるというもの。しかし,最近になり「ステルス型」の攻撃が増えてきたという。

 ステルス型とは,金融機関などになりすましたメールは送信せず,ユーザーが気付かないところで個人情報を取得する手口。代表的な例がトロイの木馬で,ユーザーのキー操作を記録するキー・ロギング機能を備えるウイルスやワームによって個人情報を盗む。このほか,ホスト名とIPアドレスの対応関係を記述したHOSTSファイルを書き換えて偽装サイトに誘導する手口なども発見されている。キャシディ氏は「今後はステルス型のフィッシング詐欺が増えてくる」と分析する。

 対策については「フィッシング詐欺を確実に防ぐ特効薬はない」とした上で,(1)検知,(2)防止,(3)閉鎖の3つの側面からの取り組みが重要であるとした。(1)は,フィルタリングしたスパム・メールの確認,自社と似たドメイン名が存在しているかどうかの監視,APWGをはじめとする情報サイトの確認,(2)は,トークンなどを利用したWebサイトの認証強化,ユーザーへの啓蒙,クロスサイト・スクリプティング対策,メールの送信者認証技術の利用,(3)は,ISPとの連携によるフィッシング・サイトの閉鎖---などである。「企業がリーダーシップを取りながらこれらの対策をとるべき」(キャシディ氏)と訴えた。

 セキュアブレインは,セキュリティ対策システムの構築,対策ソフトの開発や販売,コンサルティングなどを提供する会社。昨年10月に設立された。3月末には,フィッシング詐欺による被害を防ぐためのソフト「PhishWall」を出荷する予定である。「2月中にプレビュ・リリース版の提供も予定する」(成田明彦・代表取締役社長 兼 CEO)。

(榊原 康=日経コミュニケーション