久々の考察ネタ。で、今回話題にするものは
- ヤフーからの通知を装った日本語フィッシングで何が起きていたか
このネタである。Mixiにしばらく前に書いたネタの転載なので、時間が経ってしまったが、この話は相当巧妙であり、かつ典型的とも言えるフィッシング詐欺の手口だったので、こちらでも書いておくことにした。
さて、最近流行の兆しを見せている「フィッシング詐欺」であるが、既に相当巧妙なものが出回っていたらしい。最初に確認されたのは9月末頃とのことだから、それなりの期間出回っていたことになる。ただ、有名になったのはこのサイトの管理人氏がヤフーにヤフーメールの脆弱性を連絡し、それが修正されてからのようだ。
最近よく聞くようになった「フィッシング詐欺」という言葉だが、これは「fishing(釣り上げる)」という綴りではない。「Phishing」という綴りとなる。意味合いとしてはユーザーを偽ページに誘導し、「釣り上げてしまう」という点で同じだから「フィッシング」という発音だが、なぜ“f”ではなく“ph”なのか。
それはユーザーを釣るためのえさ(メール) が「so”ph”isticated」されているから、らしい。「sophisticated」という聞き慣れない単語には「洗練された, 高尚な; 気取った; 世間慣れした; こじつけた; まぜ物をした; (作品・文体が)凝った; (機械などが)精巧な, 複雑な.」といういくつかの意味がある(Infoseek辞書より)。まあこの場合は「正当なページに偽のページを混ぜ込んだ」とか「偽のページを正当なものであるかのようにこじつけた」という解釈が正しいのだろう。で、そのような偽ページにユーザーを誘導して、まんまとユーザーを「釣り上げて」しまうわけだ。言い得て妙な言葉である。
しかしいくら凝っているといったって、そんなページに誘導されたらすぐに分かるだろう、と思うかもしれない。だがそれは間違いである。上記のサイトを見ても分かるとおり、一見しただけでは詐欺ページに自分がアクセスしているという事を、そうそう判断できない。実際にセキュリティ意識の高いユーザーが多く集まっているはずの「セキュリティホールmemo メーリングリスト」のとある参加者でさえ、引っかかってしまったという報告をされていた(ただしその後すぐに不審な点に気が付いて、カード会社に連絡し、事なきを得ているが)。
今回はヤフーメールの脆弱性を突き、利用した形となっていたため、その穴が修正された今では、少なくともこの詐欺メールについては問題ないのかも知れない。だが今回利用されたヤフー以外にも、多くのサイトで脆弱性が眠っていると言われている。そう、クロスサイトスクリプティング(XSSとも表記する) という脆弱性だ。
これは非常に概念を説明しづらいので、下記ページの解説を読んでいただきたい。
http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html
これでも分かりづらいかも知れないが、要は「第三者が・弱点のあるサイトに対して・外部から・その弱点のあるサイトが指示したように見せかけて・ユーザーに指示を与えることができる」といったものだ。つまりは「なりすまし」である。それと一致するものがないだろうか。そう、上記のフィッシング詐欺だ。このXSS脆弱性を利用することで、なりすまし詐欺・すなわちフィッシング詐欺を働くことができるわけだ。(今回のヤフーもXSS脆弱性が原因)
タチが悪いのは、このXSS脆弱性は未だSEの間では危険認識が低く、この問題を軽視するSEが数多くいるということだ(伝え聞くところによると。ただし全てのSEがそうでないことをお断りしておく)。徐々に危険性は知られてきたものの、それでもこの脆弱性は多くのサイトが抱えているといわれる。何しろ日本有数のポータルサイトであるヤフーですら、そのメールサービスに残っていたくらいなのだから(以前にもその脆弱性の修正はされていたが、まだ残っていたらしい)、あとは推して知るべし、である。
ではこの詐欺から身を守る方法はないのか。実は全てではないにしろ、参考にするとよい事例がある。それは、現在の別の詐欺から身を守る方法を見本にすればいいのだ。その詐欺とは、「オレオレ詐欺(最近は振り込め詐欺と報道されているが)・架空請求詐欺」。いわずと知れた最近流行中の詐欺手法である。
実際、これらの詐欺には共通項が多い。識者にも、今後はオレオレ詐欺や架空請求詐欺が衰退し、フィッシング詐欺に取って代わっていくだろうと予測している人もいるほどだ。実際その読みは結構正しいと思う。ではどの点で共通しているのか。
この二点である。まずなりすましであるが、オレオレ詐欺や架空請求詐欺なら警官や被害者・孫や子供、債権回収業者になりすます。フィッシング詐欺はサイトの管理者(今回の場合ならヤフー) になりすましている。危機感を煽る点は、オレオレ詐欺や架空請求詐欺なら、金銭で片が付くように、警察・債権回収業者という圧力をちらつかせて危機感を煽る。フィッシング詐欺ならパスワード漏洩があった、支払いができていない、カード番号の確認ができないのでサービスを停止するなどと言って、危機感を煽っている。
とはいえ、実際はこの2点、大抵の詐欺が当てはまることでもある。消化器販売詐欺もそうだし、結婚詐欺も近い部分あるし(笑)。まあつまりだ、一般的な詐欺でもこうしたフィッシング詐欺でも、この二点に注意をすればいいということ。理論としては、逆説的に捉えればいいのだから
って事になるわけだが、まあ世の中何でも疑って生きてると息苦しいし、危険がないなんて思いこんでいるヤツに限って事故にあったりするわけで、こんな考え方では生きづらくて仕方がない(それでも生きていける人間は幸せな人だ)。じゃあ現実的な解はって言うと、
これしかない。危機感なんてものは人によって多かれ少なかれ持っているものだから、それをどうこうなんて考え出すと、「出家して精神修行すべし」なんて結論になってしまう。だから危機感はさておいて、なりすましに対する対策なんてこんな当たり前のことしかないわけだ。
もちろん絶対的に相手を信頼し、その身を委ねるというのもあるかもしれない。「あの業者はサービスもセキュリティもばっちりだし、フィッシングに使われる脆弱性なんて絶対にない」と。だが、セキュリティに絶対はない。XSS脆弱性だって、知られ始めたのは最近でも、古くから潜在的に存在してきたものだ。
少し物語風に例えてみよう。それは、いつもの通い慣れた道。ふと目にとめた細い路地の奥。ずっとその側を通っていたけれど、その奥に何があるのかは知らない。いつも薄暗くて、人気がない。何かそう、恐ろしいモノが潜んでいそうな雰囲気すらある。あなたはある日、再びその路地の奥を何気なくのぞき込んだ。するとそこには、切り裂かれた死体と、そこに立ってこちらを見る殺人者の姿が。そしてその殺人者と目が合ってしまったあなた。……数分後、同様にバラバラの肉片となり散らばったあなたは、うつろな思考で考える。「ああ、運が悪かったな」と…。あなたは街に流れていた噂を知らなかった。「殺人鬼が、その路地裏で、標的を物色しているらしい」という噂を。
……まあ↑は志貴とアルクェイドな訳ですが(月姫ネタかよ!)。というのはさておき、分かりにくいたとえでアレだが、あなた=被害者、殺人鬼=詐欺師、通り慣れた道=よく利用しているサイト、路地裏=そのサイトの脆弱性、街の噂=脆弱性情報・フィッシング詐欺の情報・またはそのまま噂でもいい。そう考えると分かってくると思う。つまり、日常良く通る道(信頼できるサイト) の側でさえ危険(脆弱性) は潜んでいるものであり、そこに目を付けた殺人鬼(詐欺師) に、殺されてしまう(詐欺の被害に遭ってしまう) 可能性は捨てきれないということだ。
そんなことを言ってしまうと、じゃあインターネットなんて怖くて利用できないとかいう極論になってくるけれども、それもあながち間違いとは言い切れない。これだけインターネットが普及した現在、現実の世界と同じように悪人はそこかしこに潜んでいるのだから。しかし、気をつけるポイントさえ押さえていれば、比較的安全にネットの世界を渡ることはできる。現実でも、危険を避けようと思えば、ヤバそうな路地裏やヤクザの事務所前をウロウロしたりはしないでしょ? その気をつけるポイントというのは、前述の「知識を得て、高精度の推測を元に相手を判別する能力を身につける」ことだったりもするが、それ以外にも
というのも大切。戦争でもそうだけど、四方八方敵に回して集中攻撃を受けると持ちこたえられないけど、敵対しているのが一つの勢力だけなら何とかできる可能性は高い。それと同様に、自分自身で個人情報をコントロールして、それを出す相手を限定すれば、仮にその相手を対象としたフィッシング詐欺が現れたとしても、その情報を仕入れやすいし対策も立てやすい。何事に対しても「限定する」「制限する」という行動は、自分自身を守るためにも、物事を効率よく進めるためにも、大変重要である。
まあ、ヤフーBBみたいにだだ漏れしてしまうと、例え限定していたとしても意味はないんだけどな。そういう意味でも、常に情報を仕入れて、相手が信頼に足る存在かどうか、見る目を養う必要があるだろう。
…なんか最後はフィッシング詐欺だけでなくてセキュリティ全般な話になってしまったけど、どちらに対しても、まずは情報を仕入れ知識を付けることが肝要だ。
いつの世であれ「智は力なり」である。
個人的備忘録と友人用にメモ。もう今年も終わりですが、年末まで更新遅れっぱなし。
12/22
12/23(3タイトル)
12/24
12/28
12/29