日本でも三菱東京UFJ銀行が被害に

世界の銀行を狙うフィッシングの手口とその対策

2011年10月24日 06時00分更新

文● 富安洋介／エフセキュア

今年の6月以降、銀行をターゲットとしたフィッシングが再び流行しています。日本では三菱東京UFJ銀行がフィッシングメールの注意喚起をアナウンスしています（8月25日、9月7日、9月16日）。海外でも、インドの銀行やエフセキュア本社のあるフィンランドの複数の銀行をターゲットにしたフィッシングが報告されています。今回は、最近流行しているフィッシングの事例を元に、フィッシングの手口について解説したいと思います。

偽サイトを使ってカード番号などを盗む

　フィッシングの代表的な方法として、偽サイトを利用したものがあります。フィッシングメール中に正しいURLを記載し、クリックした際に飛ぶリンク先を偽サイトにしておくという方法です。これは、HTMLメールでhrefタグを使用することにより行なわれます。偽サイトでは、口座番号やクレジットカード番号などを入力するフォームが表示されています。

　ユーザーの情報入力を促すため、フィッシングメールの本文中には「情報が入力されるまでは口座が凍結されます」などの文言を記載する、ソーシャルエンジニアリングの手法と併せて使われるのが一般的です。

　単純で昔から使われている手口ですが、残念ながら現在も有効のようです。前述の三菱東京UFJ銀行からの注意喚起の1つで、もこの方法がアナウンスされています。インドの銀行の事例も同様です。

インドの銀行の顧客をターゲットにした偽サイト

　それではこの攻撃への対策を考えてみましょう。このような攻撃への基本的な対策は、メールにあるURLをクリックしないことです。正しいURLをブラウザに入力するか、ブラウザのブックマークから目的のサイトに移動するようにすれば、偽サイトに接続されることはありません。また可能であれば、より偽のリンク先に気付きやすくするため、メールソフトにつねにプレインテキストでメールを表示するような設定を行なうことをお勧めします。

マン・イン・ザ・ミドル（中間者）攻撃による情報の盗み見

　もう1つの事例として、「マン・イン・ザ・ミドル攻撃」を利用した方法を紹介したいと思います。この攻撃は、クライアントとサーバーの接続を「横取り」し、情報を盗み見たり改ざんを行なったりする攻撃の総称です。フィンランドの銀行の事例は、マン・イン・ザ・ミドル攻撃によるものでした。

　この攻撃も、フィッシングメールから偽のURLへ誘導します。ただし、このURLでは本物と同様にログインIDとパスワードを求めるだけで、直接的には口座番号やクレジットカード番号の入力を求めません。ユーザーがログイン情報を入力すると、その内容を本物のサーバーに送信し、機密情報を盗み出すのです。

　この攻撃方法の恐ろしいところは、ログインIDやパスワードの入力情報から見られてしまうため、複雑なIDやパスワードを設定しても、あるいはワンタイムパスワードを使用したとしてもまったく対策にならないことです。

　今回の事例では偽サイトも使用していますが、マン・イン・ザ・ミドル攻撃では本物のサイトをダウンロードして表示するケースもあります。また、DNSスプーフィング（DNSキャッシュポイズニング）という攻撃方法と組み合わせ、本物のサーバーのURLが使われるケースもあります。

フィンランドの「Nordea」銀行へのマン・イン・ザ・ミドル攻撃に使われた偽サイト

こちらはOsuuspankkiという銀行をターゲットにしたもの。いずれもIDとパスワードの入力を求めている

DNSスプーフィングの恐ろしさ

　私たちがWebサイトにアクセスする際には、ブラウザのアドレスバーの部分にはURLが表示され、そこにはWebサーバーのホスト名（FQDN）が含まれています。しかし実際の通信は、ホスト名をDNSに問い合わせIPアドレスを取得し、そのIPアドレスに対して通信を行なっています。DNSサーバーに細工を行ない、DNSが間違ったIPアドレスを返すようにする手法を「DNSスプーフィング」と呼びます。

　利用しているDNSサーバーがDNSスプーフィングを受けているかどうかは、アクセスしたWebサーバーが本物なのか不正なのかを、URL（FQDN）から判断することはできません。また、事前に登録していたブックマークなどからWebサイトにアクセスしても、不正なサーバーにつながってしまいます。「URLをきちんと確認する」というフィッシングサイト対策の基本手法が使えないのです。

DNSスプーフィングによる偽のサーバーへの誘導

　それでは、DNSスプーフィングによる被害はどうすれば防げるのでしょうか？

　前提として、DNSスプーフィングで盗もうとするような情報はHTTPSのサイトで入力が行われるべきものと考えられます。ですので、一般的なユーザーが取れる有効な手段は、Webサーバーのデジタル証明書を確認することです（デジタル証明書の仕組みや注意点は、本連載の第14回を参考にしてください）。「本物のサーバーと同じ証明書」を偽のサーバーは持つことができないため、証明書の発行対象がURLのドメインと異なるのです。また、通信がHTTPSでない場合は、そもそもとして盗聴の危険性もあるため、重要な情報は入力してはいけません。

　また、DNSサーバーの管理者は、BINDなどのDNSソフトのセキュリティアップデートに注意を払ってください。過去に「リモート攻撃可能な脆弱性」が報告されたことがあります。DNSスプーフィングは、フィッシングだけでなく、マルウェアのダウンロードサイトなどにも応用される可能性が考えられます。DMZなど外部からアクセス可能な場所にDNSサーバーを配置している企業では、管理者の方は特に管理にご注意ください。