今年の6月以降、銀行をターゲットとしたフィッシングが再び流行しています。日本では三菱東京UFJ銀行がフィッシングメールの注意喚起をアナウンスしています(8月25日、9月7日、9月16日)。海外でも、インドの銀行やエフセキュア本社のあるフィンランドの複数の銀行をターゲットにしたフィッシングが報告されています。今回は、最近流行しているフィッシングの事例を元に、フィッシングの手口について解説したいと思います。
偽サイトを使ってカード番号などを盗む
フィッシングの代表的な方法として、偽サイトを利用したものがあります。フィッシングメール中に正しいURLを記載し、クリックした際に飛ぶリンク先を偽サイトにしておくという方法です。これは、HTMLメールでhrefタグを使用することにより行なわれます。偽サイトでは、口座番号やクレジットカード番号などを入力するフォームが表示されています。
ユーザーの情報入力を促すため、フィッシングメールの本文中には「情報が入力されるまでは口座が凍結されます」などの文言を記載する、ソーシャルエンジニアリングの手法と併せて使われるのが一般的です。
単純で昔から使われている手口ですが、残念ながら現在も有効のようです。前述の三菱東京UFJ銀行からの注意喚起の1つで、もこの方法がアナウンスされています。インドの銀行の事例も同様です。
インドの銀行の顧客をターゲットにした偽サイト
それではこの攻撃への対策を考えてみましょう。このような攻撃への基本的な対策は、メールにあるURLをクリックしないことです。正しいURLをブラウザに入力するか、ブラウザのブックマークから目的のサイトに移動するようにすれば、偽サイトに接続されることはありません。また可能であれば、より偽のリンク先に気付きやすくするため、メールソフトにつねにプレインテキストでメールを表示するような設定を行なうことをお勧めします。
マン・イン・ザ・ミドル(中間者)攻撃による情報の盗み見
もう1つの事例として、「マン・イン・ザ・ミドル攻撃」を利用した方法を紹介したいと思います。この攻撃は、クライアントとサーバーの接続を「横取り」し、情報を盗み見たり改ざんを行なったりする攻撃の総称です。フィンランドの銀行の事例は、マン・イン・ザ・ミドル攻撃によるものでした。
この攻撃も、フィッシングメールから偽のURLへ誘導します。ただし、このURLでは本物と同様にログインIDとパスワードを求めるだけで、直接的には口座番号やクレジットカード番号の入力を求めません。ユーザーがログイン情報を入力すると、その内容を本物のサーバーに送信し、機密情報を盗み出すのです。
この攻撃方法の恐ろしいところは、ログインIDやパスワードの入力情報から見られてしまうため、複雑なIDやパスワードを設定しても、あるいはワンタイムパスワードを使用したとしてもまったく対策にならないことです。
今回の事例では偽サイトも使用していますが、マン・イン・ザ・ミドル攻撃では本物のサイトをダウンロードして表示するケースもあります。また、DNSスプーフィング(DNSキャッシュポイズニング)という攻撃方法と組み合わせ、本物のサーバーのURLが使われるケースもあります。
フィンランドの「Nordea」銀行へのマン・イン・ザ・ミドル攻撃に使われた偽サイト
こちらはOsuuspankkiという銀行をターゲットにしたもの。いずれもIDとパスワードの入力を求めている
DNSスプーフィングの恐ろしさ
私たちがWebサイトにアクセスする際には、ブラウザのアドレスバーの部分にはURLが表示され、そこにはWebサーバーのホスト名(FQDN)が含まれています。しかし実際の通信は、ホスト名をDNSに問い合わせIPアドレスを取得し、そのIPアドレスに対して通信を行なっています。DNSサーバーに細工を行ない、DNSが間違ったIPアドレスを返すようにする手法を「DNSスプーフィング」と呼びます。
利用しているDNSサーバーがDNSスプーフィングを受けているかどうかは、アクセスしたWebサーバーが本物なのか不正なのかを、URL(FQDN)から判断することはできません。また、事前に登録していたブックマークなどからWebサイトにアクセスしても、不正なサーバーにつながってしまいます。「URLをきちんと確認する」というフィッシングサイト対策の基本手法が使えないのです。
DNSスプーフィングによる偽のサーバーへの誘導
それでは、DNSスプーフィングによる被害はどうすれば防げるのでしょうか?
前提として、DNSスプーフィングで盗もうとするような情報はHTTPSのサイトで入力が行われるべきものと考えられます。ですので、一般的なユーザーが取れる有効な手段は、Webサーバーのデジタル証明書を確認することです(デジタル証明書の仕組みや注意点は、本連載の第14回を参考にしてください)。「本物のサーバーと同じ証明書」を偽のサーバーは持つことができないため、証明書の発行対象がURLのドメインと異なるのです。また、通信がHTTPSでない場合は、そもそもとして盗聴の危険性もあるため、重要な情報は入力してはいけません。
また、DNSサーバーの管理者は、BINDなどのDNSソフトのセキュリティアップデートに注意を払ってください。過去に「リモート攻撃可能な脆弱性」が報告されたことがあります。DNSスプーフィングは、フィッシングだけでなく、マルウェアのダウンロードサイトなどにも応用される可能性が考えられます。DMZなど外部からアクセス可能な場所にDNSサーバーを配置している企業では、管理者の方は特に管理にご注意ください。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ
