PR

 前回までで、望ましいパスワードとその管理についてお話しました。今回はそのパスワードを狙う攻撃についてお話しようと思います。
 パスワードは常に狙われています。前回までの話の中でも、単純な「パスワード推測」から、「辞書攻撃」「総当たり攻撃」などを紹介しましたが、もうひとつ知っておくべき攻撃手法には「フィッシング」というのがあります。
 「フィッシング」とはネット詐欺の一種で、「フィッシング詐欺」と呼ばれたりもします。FishingとかけてPhishingとつづりますが、日本での俗説とは異なり、もともとはPassword Hackingを縮めてPhとしたらしいです。つまり、目的はIDとパスワードの奪取ということになるのです。

 他の多くのネット詐欺と同様に、フィッシング詐欺もまずメールから始まります。ある日突然、いつもオンラインで使っている銀行からメールが届き、「セキュリティ上の重大な問題が発生しました。つきましては以下のURLにアクセスし、パスワードを至急変更してください」と言ってくるのです。それに乗せられて指定されたWebサイトに行くと、いつもとそっくり同じWebページが待っていますが、もちろんこれは偽装サイトです。犠牲者はそのサイトに自らパスワードを入れて、盗まれてしまうのです。

これまでは、
・SSLによる暗号通信を行っているか
・暗号通信のサーバー証明書は適切か
・正しいドメイン名、URLか
などの対策が提唱されていましたが、手口の進化と対策はいつもいたちごっこです。今ではSSLに対応した偽装サイトも存在しますし、もともとの正しいWebサイトにクロスサイト・スクリプティングの脆弱性というものが存在すると、ドメイン名も証明書もまさに本物でしかないのに、偽装サイトに誘導されることもあったりします。この攻撃を用いられると、利用者AはWebサイトBに通信しているつもりで(A→B)、別のWebサイトEに飛ばされている(A→B→E)、ということになります。

 また最近では中間者攻撃という手口も出てきています。これは通信に割り込む手法で、暗号通信を盗聴する際などに用いられてきました。
 一般的に通信はA→Bという形でふたつのコンピューターの間で行われますが、中間者攻撃では偽装工作などによってA→E→Bという形にしてしまうのです。この形を成立させれば、暗号通信を行っていたとしてもAとEの間ということになりますので、Eは当然通信の中身を見ることができてしまうのです。となると、SSLに対応していようが何しようが、IDやパスワードも当然、知られてしまいます。

 ……こうして見てくると、偽装サイトに誘導されてしまった後では効果がある対策はほとんどありません。詳しく調べればわかるところはありますが、それもいたちごっこでしょうし、何より次々と繰り出される新しい手口に応じた対策を次々に覚える、というのはほぼ不可能でしょう。Webブラウザにフィッシング対策機能がある場合もありますが、どれだけ効果があるのかまだまだ未知数です。

最近多くなっている米国の銀行「Fifth Third Bank」を騙るサイトにアクセスすると、Webブラウザーが警告を出す(Firefoxの場合)

 となると、誘導されないようにすることが重要です。

 誘導されないようにするには、まずは迷惑メール対策を行いましょう。要するに、誘導メールを目に触れないようにしてしまうわけです。対策はさまざまなものがありますが、今使っているメールソフトウエアをそのまま使いたい場合は「POPfile」、新しいメールソフトウエアに乗り換えてもいい場合は「Thunderbird」がお勧めです。両者に共通するのは、メールの中身を学習して、怪しいメールを選り分けてくれる、という機能です。使い始め当初は数日程度はサンプルを読ませて「これが悪いメールだ」と教えこむ必要がありますが、選り分け精度はすぐに向上します。十分に向上すれば、あとは未知の文面も含めて勝手に選り分けてくれるので、非常に楽です。POPfileの導入から設定については、Webサイトに詳しく掲載されていますので、それを見れば簡単に導入できるはずです。Thunderbirdは導入して、通常のソフトウエアと同じ設定を行えば良いだけです。もちろん両方を併用しても良いでしょう。

 わたしの手元では、POPfileの検出精度は現在99.35%です。これは100通来たら99通強は正しい分類をしてくれる、ということです。つまり、POPfile、あるいはThunderbirdを入れておけば、迷惑メールの99%は目にしないで済むわけです。
 もちろん100%ではないので、ときたま検出ミスが発生することもあります。迷惑メールの1000通のうちの7通が検出ミスになってしまって、そのうちの1通が万一「誘導メール」であったとしたら(つまり、目にしてしまったとしたら)、どうすれば良いでしょうか?

 そういうときはまず、「緊急メール」が本物かどうかを確認しましょう。例えばA銀行から「緊急のお知らせ」が来たら、そのメールに書かれている情報を一切使わずに、自分のブックマークやお気に入りからA銀行のWebサイトにアクセスします。「緊急のお知らせ」が本物だとしたら、まともな銀行ならばそんな重大事をトップページに書いていないはずがありません。場合によっては「こういう詐欺メールが出回っています、気をつけてください」と書いてあったりするので、そこでメールの身元が判明することもありますし、逆にもし何も書いていなければそのメールは「誘導メール」であると認識して良いでしょう。あるいは、「緊急事態が発生しています」と書いてあったとしてもそこで慌ててアクセスしたりせず、電話帳や名刺などで実際にA銀行の最寄り支店の電話番号を調べて、直接電話して確かめましょう。

 だいたいにおいて「直接連絡して確かめる」ことが最も強力な確認方法です。これを習慣づけていれば、詐欺にひっかかる確率はかなり下げることができるはずです。もちろん、ものすごく大がかりな詐欺を仕掛ければ、直接確認されても騙すことは可能でしょうけど、それはコストパフォーマンスが悪すぎます。楽して儲けようと思う悪い人たちは、そんな手間をかけることはしないでしょう。銀行に迷惑だからなどと遠慮する必要はありません。殺到する問い合わせ処理やクレームに応対してこそ、格安の金利(苦笑)とお高い手数料にもかかわらず預けている意味があるというものです(笑)。銀行でない場合でも、確信を得られるまでは躊躇せずに問い合わせることを習慣づけましょう。

P.S.
ごく最近、アンケートを装ったフィッシング詐欺が出現したようです。「eBayは度重なる不正利用が原因で2007年2月27日をもって閉鎖することを決めました。この件についてあなたのご意見をお聞かせください」というメールが届き、YESまたはNOと答えると偽装ページに飛ばされてIDとパスワードを盗まれる、というものです。まったく、悪知恵というのは底が知れないですね。