サービス提供者側が行うべきフィッシング対策について: NECセキュリティブログ

Tweet

2023年4月28日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターサイバーインテリジェンスグループの郡司です。今週のセキュリティブログでは、サービス提供者側が行うべきフィッシング対策に関する話題をお届けします。

はじめに

フィッシング(またはフィッシング詐欺) new window [1]とは、本物そっくりの偽サイトを用意した上で、偽の通知メールなどでユーザーを偽サイトに誘導し、騙されたユーザーがそこで入力した(ユーザー名とパスワードなどの)情報を窃取して、その情報を使って様々な犯罪を行う、という詐欺のことです。
ここ最近、フィッシングが非常に流行していると言われています。たとえば警察庁が2023年3月16日に発表したレポート「令和4年におけるサイバー空間をめぐる脅威の情勢等について」 PDF [2]によると、令和4年のフィッシング報告件数は96万8,832件で、前年比で84.0%の増加となり、右肩上がりで増加しているとのことです。
またIPAが発行している「情報セキュリティ10大脅威 2023」 new window [3]においては、「フィッシングによる個人情報等の詐欺」を個人における情報セキュリティ脅威の1位と位置付けています。さらに同資料では「犯罪のビジネス化(アンダーグラウンドサービス)」を組織における情報セキュリティ脅威の10位と位置づけており、これは「犯罪に使われるサービスやツール、情報などが犯罪者間でビジネスとして取引されている」というものです。その中には「サービスとしてのフィッシング(PhaaS: Phishing as a Service)」というものもあり new window [4]、犯罪者がこのサービスを利用すると容易にフィッシングを行えるため、今後ますますフィッシングが増加することが懸念されます。
フィッシングは「犯罪者がサービス提供者のふりをしてユーザーを騙す」というものですので、基本的にはユーザー個々人が騙されないように注意する必要があります。ユーザー側が騙されないために気を付けるべきことをまとめた資料はいくつか公開されています PDF [5] new window [6]が、一方でなりすまされる側であるサービス提供者としては、何かできることはないでしょうか。そこで、今回はサービス提供者側が行うべきフィッシング対策についてまとめてみたいと思います。

サービス提供者側が行うべき4つのフィッシング対策

サービス提供者側が行うべきフィッシング対策として、ここでは大きく次の4つを挙げます。

サイトやメールが本物であることをユーザーが確認できるようにする
偽サイトを極力減らす
サービス利用時の本人確認を強化する
ユーザーとのコミュニケーションを深める

それでは、それぞれの対策について個別に見ていきましょう。

サイトやメールが本物であることをユーザーが確認できるようにする

まず一つ目は、サービス提供者が提供しているサイトや、サービス提供者が送信するメールが「本物である」とユーザーが確認できるようにすることです。具体的にはサービス提供者が利用しているドメイン名(サイトのURLやメールのアドレスなど、インターネット上の通信をする際に通信元・通信先を指定するのに使われる、「example.com」「example.co.jp」のような名前のこと)をきちんと把握し、サービス提供者のサイトなどで「自組織が利用しているドメインの一覧」などを公開したり、注意喚起などの際にユーザーにそれを周知したりといったことが考えられます。またドメインについてはユーザーが把握しやすいように、安易にドメインを取得せず、可能な限り利用するドメインは少なくするほうがよいでしょう。さらに一度取得したドメインを廃止する場合には、廃止後にドロップキャッチ new window [7]により第三者に取得され、それが悪用されるというケースも考えられます PDF [8] [9]ので、廃止にあたって十分に長い時間をかけたり、廃止せずに保持し続けたりといった対応が必要となります。いずれにせよ、ドメイン名は組織のブランドであることを意識して、適切に維持・管理・周知するようにしましょう。
またサイトが本物であることを証明するために、提供しているすべてのサイトにサーバ証明書を導入することも有効です。サーバ証明書は通信の暗号化に使われるだけでなく、ドメイン名(およびサーバ名)とサイト運営者との関係を証明するという意味もあるためです。なおサーバ証明書には無料もしくは安価なものもありますが、取得の際に身元確認を厳格に行う必要のあるEV証明書 new window [10]を利用するとよいでしょう。
次にメールについてですが、メールはその性質上、なりすまし(送信元を偽装すること)が可能です[11]。そのため、正しい発信者から送信していることを確認し、なりすましを防ぐ技術としてSPF (Sender Policy Framework) new window [12]、DKIM (DomainKeys Identified Mail)[13]、DMARC (Domain-based Message Authentication, Reporting, and Conformance)[14]、BIMI (Brand Indicators for Message Identification)[15]というものがあります。SPFは「ある組織がメールを送信する際に使用するメールサーバのIPアドレスをあらかじめ宣言しておく」というもので、メール受信者はメールを受信したときに発信元のIPアドレスをそれと比較することで、きちんとその組織から送られてきたメールであるかどうかの検証を行うことができます。DKIMは「メールを送信する際に送信元が電子署名を行い、メール受信者がそれを検証することで、なりすましや改ざんを検知する」というものです。DMARCは「SPFとDKIMによる認証(検証)が失敗した場合、どのようにそのメールを扱うべきかのポリシーを組織が宣言する」というものです。BIMIは「DMARCにより正しい送信元から送信されたと証明されたメール(認証済みメール)にブランドのロゴを表示する」というものです。これらを適切に設定しておくことで、ユーザーは(これらに対応したメールクライアントを利用することで)正しい送信者からのメールであるかどうかを確認することができるようになります。
ここまではサイトやメールに使われるドメイン名の話でしたが、最近では携帯電話のショートメッセージサービス(SMS)を使ってフィッシングを行う「スミッシング new window [16]」という手法も増えてきています。こちらにつきましても受信者側で送信者が本物かどうかを確認できるように、自組織がSMSを発信する際の発信者番号についても周知しておくことが大事です。

偽サイトを極力減らす

二つ目が、自組織の偽サイトを極力減らすような活動をすることです。具体的な対策としては、ひとつは(一文字抜けている、文字の順序が一部入れ替わっている、見た目が似ている文字を使うなど)自組織のドメイン名と似ている、偽サイトに使われそうなドメイン(ドッペルゲンガードメイン new window [17]とも呼ばれます)をあらかじめ取得しておく、というものが挙げられます。とはいえ最近では、偽サイトの多くが実は似たようなドメイン名を使ったものではなく、ランダムな文字列のドメイン名を使ったものであるという話もあります new window [18]。いずれにせよ、偽サイトを見つけたらJPCERT/CCに依頼して[19]、閉鎖するように働きかけを行うようにしましょう。

サービス利用時の本人確認を強化する

三つ目が、ユーザーがサービスを利用する際の本人確認の強化です。たとえばユーザーがフィッシングサイトにユーザー名とパスワードなどの情報を入力してしまった場合のことを考慮して、フィッシングにより流出した情報だけではサービスを利用できないように、多要素認証 new window [20]を導入することが考えられます。ユーザー名とパスワードの漏えいについてはフィッシング以外にも、不正アクセスによる漏洩や、ブルートフォースアタック[21]やパスワードリスト攻撃[22]などによる推定、パスワードの使いまわしによる他のサイトからの漏洩なども考えられますので、そうしたことに対しても多要素認証は有効な対策となります。
また最近では「パスキー」と呼ばれるパスワードを使用しない認証方式[23]も普及の兆しが見えてきており、フィッシング対策にも有効ですので、こうした新しい認証方式の導入も検討すると良いでしょう。

ユーザーとのコミュニケーションを深める

四つ目が、ユーザーとのコミュニケーションを深める事です。たとえば自組織を名乗るフィッシングメールを観測したり、フィッシングサイトを確認したりした場合、ユーザーへの注意喚起を行うことや、フィッシングが起きてしまった時のユーザーの問い合わせ窓口を用意するといったことが考えられます。またこうしたユーザーとのコミュニケーションには公式サイトやメールなどのほか、公式アプリの提供や、SNSの公式アカウントを用意する、プレスリリース配信サービスなど外部のサービスも活用して、普段からユーザーと情報をやりとりできるチャネルを複数確保しておくことも有効です。

おわりに

今回の記事ではフィッシング対策としてサービス提供者がすべきことをご紹介しました。冒頭でもお話しました通り、これまでのフィッシング報告件数の推移や犯罪のビジネス化といった要因により、今後もフィッシングは増加が見込まれますので、ユーザー個々人による対策だけでなく、サービス提供者側もまた可能な限りフィッシング対策をすることが期待されます。インターネット上で何らかのサービスを提供している組織でフィッシング対策をまだ行っていない場合は、検討してみてはいかがでしょうか。
またフィッシングはいわゆる「オレオレ詐欺」「振り込め詐欺」といった特殊詐欺のインターネット版と考えると分かりやすいかと思いますので、たとえば警察庁の「特殊詐欺の手口と対策 new window [24]」なども参照して、フィッシングに限らず犯罪者のさまざまな手口について認識しておき、ユーザー個々人が騙されないように気を付けるだけでなく、サービス提供者側として何かできることがないかといったことは常に意識するようにしましょう。

参考文献

[1]
『フィッシングとは』フィッシング対策協議会
https://www.antiphishing.jp/consumer/abt_phishing.html
[2]
『令和4年におけるサイバー空間をめぐる脅威の情勢等について』警察庁
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
[3]
『情報セキュリティ10大脅威 2023』独立行政法人情報処理推進機構 (IPA)
https://www.ipa.go.jp/security/10threats/10threats2023.html
[4]
『Microsoft Digital Defense Report 2022』Microsoft
https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022
[5]
『利用者向けフィッシング詐欺対策ガイドライン 2022 年度版』フィッシング対策協議会
https://www.antiphishing.jp/report/consumer_antiphishing_guideline_2022.pdf
[6]
『フィッシング対策』警察庁
https://www.npa.go.jp/bureau/cyber/countermeasures/phishing.html
[7]
『ドロップキャッチとは』一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
https://www.nic.ad.jp/ja/basics/terms/dropcatch.html
[8]
『ドメイン名の廃止にあたっての注意』フィッシング対策協議会、株式会社日本レジストリサービス (JPRS)
https://www.antiphishing.jp/news/techwg_openday2020_online_JPRS.pdf
[9]
『インターネット・トリビア: 一度登録したドメイン名は大切に』株式会社インターネットイニシアティブ (IIJ)
https://techlog.iij.ad.jp/archives/iijnews161
[10]
『EV(Extended Validation)証明書とは』一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
https://www.nic.ad.jp/ja/basics/terms/ev_certificate.html
[11]
『メールの見かけ上の送信元情報を安易に信じないで』独立行政法人情報処理推進機構 (IPA)
https://www.ipa.go.jp/security/anshin/attention/2021/mgdayori20210921.html
[12]
『SPFとは』一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
https://www.nic.ad.jp/ja/basics/terms/spf.html
[13]
『DKIMとは』一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
https://www.nic.ad.jp/ja/basics/terms/dkim.html
[14]
『DMARCとは』一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
https://www.nic.ad.jp/ja/basics/terms/dmarc.html
[15]
『BIMIについて』Google
https://support.google.com/a/answer/10911320?hl=ja
[16]
『スミッシングとは』IT用語辞典 e-Words
https://e-words.jp/w/%E3%82%B9%E3%83%9F%E3%83%83%E3%82%B7%E3%83%B3%E3%82%B0.html
[17]
『ドッペルゲンガー・ドメインとは』SOMPO CYBER SECURITY
https://www.sompocybersecurity.com/column/glossary/doppelganger-domain
[18]
『最近のフィッシングURLの生成手口を分析！よくある攻撃パターンとは？』株式会社ラック
https://www.lac.co.jp/lacwatch/people/20230303_003297.html
[19]
『フィッシングに関するFAQ』一般社団法人JPCERTコーディネーションセンター
https://www.jpcert.or.jp/ir/faq3.html
[20]
『多要素認証とは』野村総合研究所(NRI)
https://www.nri.com/jp/knowledge/glossary/lst/ta/multi_factor_authentication
[21]
『総当たり攻撃（ブルートフォースアタック）とは』IT用語辞典 e-Words
https://e-words.jp/w/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83.html
[22]
『パスワードリスト攻撃とは』SOMPO CYBER SECURITY
https://www.sompocybersecurity.com/column/glossary/password-list-attack
[23]
『パスワードに代わる認証方式として注目される「パスキー」について』NECセキュリティブログ
https://jpn.nec.com/cybersecurity/blog/221216/index.html
[24]
『特殊詐欺の手口と対策』警察庁
https://www.npa.go.jp/bureau/safetylife/sos47/case/