日中がフィッシング対策について講演:イベント・セミナーレポート:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > イベント・セミナーレポート > 日中がフィッシング対策について講演
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

セミナーレポート
日中がフィッシング対策について講演

 2010年11月17日、経済産業省・フィッシング対策協議会*1が主催する「フィッシング対策セミナー」が、東京大手町にて開催。同セミナーは大阪(18日)福岡(19日)でも開催された。

会場には官公庁やeコマース事業社等から約130名が参加した
会場には官公庁やeコマース事業社等から約130名が参加した
 「フィッシング対策協議会」では、フィッシング被害事例の分析・情報発信、消費者・事業主への注意喚起といった活動のほか、APWG*2が開催する国際会議において、日本のオンライン犯罪における現状を紹介するなど、フィッシング被害に関する国際連携の役割を担う。

 2009年より経済産業省の委託事業として、JPCERT/CC*3が「フィッシング対策協議会」を運営。フィッシング対策協議会・JPCERT/CCの小宮山功一朗氏が登壇し、日本のフィッシング被害の状況について報告した。
フィッシング報告件数の推移 
資料提供:JPCERT/CC
フィッシング報告件数の推移  資料提供:JPCERT/CC
(クリックすると拡大します)
 日本は、海外に比べフィッシングサイト件数は少なく、特に「.jp」ドメインのサイトに関しては安全であるというのが定説。しかし、JPCERTに報告される(国内・国外のサイトを含む)フィッシング報告件数の推移を見ると、2009年5月ごろより日本語のフィッシングサイトが急増しており、2010年9月は月間110件近く、10月は180件近くの日本語のフィッシングサイトURLが報告されている。小宮山氏は「現状Yahoo!Japanを狙ったものが大部分であるが、2009年12月ごろからはそれ以外の日本サイトを狙ったものが増え始めており、注意が必要である」と話す。
フィッシング対策協議会・JPCERT/CCの小宮山功一朗氏
フィッシング対策協議会・JPCERT/CCの小宮山功一朗氏
 また、小宮山氏はフィッシングサイトが発見された場合の対応策について説明。消費者からの報告等でフィッシングサイトが確認された場合、JPCERTがホスティングサービス事業者等に削除要請を行うという体制で動いている。「通知から24時間以内に約70%、72時間内に約90%のサイトが閉鎖。2週間以内には約98%が閉鎖されるが、法的強制力はなく100%には至らないのが現状である」と解説した。
「中国におけるフィッシング対策の状況」について講演する
肖勃瀚(シャオ・ボゥ・ハン)氏
「中国におけるフィッシング対策の状況」について講演する肖勃瀚(シャオ・ボゥ・ハン)氏
 中国のフィッシング状況について、中国唯一のフィッシング対策の公的組織であるAPAC(Anti-Phishing Alliance of China)の副事務局長である肖勃瀚(シャオ・ボゥ・ハン)氏が説明した。
 APACは、「.cn」(中国を表すドメイン)の管理機構であるCNNIC *4との連携組織であり、フィッシング対策としてドメイン停止処理プロセスを導入している。APAC会員には銀行や証券会社、eコマース事業者、ドメイン販売事業者を中心に145社が加入しており、フィッシングをはじめとした個人情報窃取等の犯罪への対策を行っている。

 ボゥ・ハン氏は、中国におけるフィッシングサイトへの対処方法を紹介。APACに報告されたフィッシングサイトURLは、以下の3つの方法で対処されている。
1).cnドメインを使っている場合
 2時間以内に該当ドメイン名サイトを停止。迅速に対処できる。
2).cnドメインを使っていないが、中国事業者で登録したドメイン名を使っている場合
 レジストラ*5に対し、ドメイン名サイトを停止するように要請。
3).cnドメインを使っておらず、外国で登録されている場合
 ブロックリストサービス事業者にフィッシングサイトのURLを提供する(ウイルス対策ソフトベンダー、アンチスパムベンダー等にフィッシングサイトURLを提供。インターネットユーザがそのURLにアク セスした際、各ブラウザ上で警告を出すなど注意喚起を行う)。

 ボゥ・ハン氏は「世界の例で見るとフィッシングサイトへの対応策は、3)の方法が一般的である。1)のドメイン停止を導入している国はまだ少ないが、素早く効果的な方法である」と解説。その言葉通り「.cn」を使ったフィッシングサイトはこの1年で激減。フィッシングサイトの報告件数で比べると、2009年11月時点で1800件もあったのが、2010年10月時点では20数件にまでなった。

 今後の取り組みとして、ボゥ・ハン氏は中国語ドメインのフィッシングサイトへの対策について触れた。「中国漢字のような複雑な文字でURLが表示されるようになると、細かな部首の違いは認識しづらく、ユーザがフィッシングサイトに気付きにくくなる状況が出てくる。日本も漢字文化圏として、同じような問題が今後出てくるのでは」と注意を促した。
マイクロソフト チーフセキュリティアドバイザー
高橋正和氏
マイクロソフト チーフセキュリティアドバイザー
高橋正和氏
 また企業からはマイクロソフト チーフセキュリティアドバイザーの高橋正和氏が登壇した。同社では、ソフトウェアの悪用、セキュリティ侵害およびソフトウェアの脆弱性等について、世界市場レベルでの分析を行い「マイクロソフト セキュリティインテリジェンスレポート」として半期に一度公表している。今回は、2010年10月に公表された最新レポートからフィッシングに対する傾向と、同社の取り組みを解説した。
 フィッシングのターゲットについて、高橋氏は「金融機関が大半であるが、近年はSNSを狙ったものも目立ってきている」と話す。「金融関係のフィッシングは消費者の認識度も高く警戒されているが、SNSのフィッシング及び、そのリスクについては認識度が低いというのがその理由ではないか」と分析している。

 また技術的には、Internet Explorerで、フィッシングサイトへアクセスしようとした際、警告画面を出すフィルタリング機能で対策を行っている。
 だが近年は、技術的な面でフィッシングサイトの見分けがつきにくい状況になっている、と高橋氏は話す。「フィッシングサイトが短期間でIPアドレスを切り変え、摘発をまぬがれようとする動きと、正規のサイトがロードバランサーを登用し、障害対策に備え短期間でIPアドレスを変更するという、両者が似た動きになっていて判定が難しい」と課題を語った。

 フォーラムでは、このほか楽天の取り組みも報告された。年々フィッシング犯罪の手口は高度化し、発覚しづらくなっている中、情報共有や消費者への注意喚起による防止策は、今後は国際レベルでの連携・協力による対処が重要であると感じさせられた。


※この講演とセキュリティプラットフォームは一切関係ありません。




注釈

*1:フィッシング対策協議会
2005年4月に設立。金融機関、信販会社、オンラインサービス、セキュリティベンダー等53組織が加盟。フィッシングに関する情報収集、情報提供、動向分析、技術面での検討を行う。

*2:APWG(Anti-Phishing Working Group)
フィッシング詐欺、なりすましメール、クライムウェアによる窃盗や詐欺の撲滅を目指す団体。会員には、世界中から、金融機関やオンライン小売業者、ISP、法執行機関共同体、セキュリティ・ソリューション・プロバイダー等1,800以上の企業、政府機関を含む3,000名が登録。

*3:JPCERT/CC(ジェイピーサート コーディネーションセンター)
インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行っている。

*4:CNNIC (China Internet Network Information Center、中国互聯網絡信息中心)
1997年に設立。ドメイン登記サービスやIPアドレス分配などのほか、中国インターネットに関する政策や法律に関与。またサイト数、ユーザ数等統計調査を実施している。

*5:レジストラ
ドメイン名の登録申請を受け付ける組織。




お問い合わせ

  コラムトップページへ▲