フィッシング、ウイルス上回るとMessageLabs

　ITmediaの記事によれば、MessageLabsが電子メールに占めるフィッシング詐欺メールの割合がウイルスメールの割合を上回ったと発表したそうだ。
（以下記事より引用）

　フィッシング攻撃が増えた背景としてMessageLabsでは、ウイルスが大規模な無差別攻撃からターゲットを絞った攻撃にシフトしていると分析。また、オンライン小売サイトの2要素認証導入に対抗する狙いで、通信に介入・盗聴する「中間者攻撃」型のフィッシングサイトが浮上しているという。これは、さらに高度な手口を使ったフィッシングが増えることを示唆するものだと同社。フィッシングサイトはブラウザの対策技術をかわす目的で、HTMLではなくFlashを使うものが増えているという。

（引用以上）
　たまにはセキュリティ製品を出している会社の人のブログ風に、少しだけ解説すると、2要素認証とは、two-factor authenticationの訳語で、代表的にはオンラインバンキング各社が使いだしている、セキュリティトークンによるワンタイムパスワードのような認証方式のことを指す。たとえパスワードを詐取して後で使おうとしても、そのときにはパスワードは無効になっているので使えない、というような技術だ。「2要素」の「2」とは、「持っている」ものと「覚えているもの」、例えば「トークン」と「パスワード」のことを指す（と私は認識している）。

　古典的なフィッシング詐欺では、パスワードを詐取する目的でニセのサイトに誘導してユーザーが入力したユーザー名とパスワードを詐取し、後で利用するといういわば「静的」な手法を取っていた。2要素認証は、これらの静的な手法によるフィッシング詐欺（や、キーロガーやソーシャルハッキングのような手法）に対しては有効なのだが、ユーザーからユーザー名、パスワード、トークンから取得したワンタイムパスワードを取得すると同時に、「動的」に本物のサイトにログインして不法行為を働く「中間攻撃型」フィッシングサイトに対しては歯が立たない。

　HTMLではなくFlashを使う、というのは、そうした通信をブラウザが行うのではなく、Flashコンポーネントが行うよう仕向けることで、ブラウザの対策機能や、セキュリティプラグインを迂回しようということだろう。Flashコンポーネントにもフィッシング対策機能が必要な時代になってしまった、ということだ。

　この記事を読んで二つのことを考えた。一つは、当社の製品を宣伝する立場からも健全な考えに関することで、やはり、フィッシング詐欺は従来のような手法ではいたちごっこになってしまい防ぎきれないので、ユーザーの啓蒙も含めて対策していかないといけないということ。ユーザーとサービス提供企業の両方が協力して「一見してフィッシング詐欺でないとわかる」方法を導入していかなければいけない。そんな方法あるの？と思うかもしれないが、「送信側がメールに電子署名を付加し、その見分け方を広報する」という方法だ。日本では三井住友銀行がこの方法を採用し、分かりやすく啓蒙・広報している。

　もう一つは、SOAとかWeb ServicesとかWeb 2.0とかに関することで、ネット上の様々なサービスがコンポーネント化されてAPIが公開され、マッシュアップが容易になってきており、Web 2.0という名前の一種のSOAが実現されようとしていることは、我々をとてもワクワクさせてくれるのだが、一方でそれは、「中間攻撃型」フィッシングサイト出現の追い風になってしまう可能性があるかもしれない、ということ。「中間攻撃型」フィッシングサイトは、「無理矢理マッシュアップ」の典型のような技術だと思うが、APIが整備されることで、実装はロジックを実装するだけになるので、ずいぶん楽(?)になる。この流れで実際に被害が出て、「APIを公開することが大きな危険につながる」ということになってしまうと、社会的な損失は大きい。

　他のセキュリティ問題と同様、ITセキュリティベンダーとともに、社会全体が意識を高めるべくがんばるべき時代なのだと再認識した。とはいえ、セキュリティの各種概念は非常に敷居が高く、一民間企業がその啓蒙／教育コストを負担するのはたいへん難しい。最終的には、たいそうな話になるが、社会的な損失を防ぐため、セキュリティの基本概念に関する教育を、義務教育等の教育システムの中に織り込んで社会全体のレベルを高めていかないといけないのだと思う。