シマンテック エンタープライズ製品およびサービス担当グループプレジデント フランシス・デソーザ

先週 Google は、ブログの記事で、多数のユーザーの Gmail 個人アカウントが攻撃を受けたことを発表しました。これには、米国の政府高官、中国の政治活動家、アジア数か国（特に韓国）の政府関係者、軍関係者やジャーナリストなども含まれています。Google によれば、パスワードの取得を狙った攻撃の発信源は中国の済南であると見られ、Gmail ユーザーのメールの内容を監視することが意図されていました。攻撃者は、盗み出したパスワードを使って、これらのユーザーのメール転送と委任の設定を変更しているようです。Google は、この攻撃を検出して遮断したことを確認しており、被害を受けたユーザーへの連絡とアカウントの保護も完了しています。また、関連する政府当局にも通知済みです。

これらの攻撃は、いわゆる「スピア型フィッシング」の一例のようです。スピア型フィッシングでは、ユーザーに覚えのある個人または企業から電子メールが送信されたように見えますが、実際にはそうではありません。クレジットカード番号や銀行口座番号、パスワード、ユーザーのコンピュータ上にある金融関連情報などを取得しようとするハッカー犯罪者から送信されています。本質的には、スピア型フィッシングも標的型攻撃のひとつに過ぎません。

シマンテックは、スピア型フィッシングを含む標的型攻撃が依然として増え続けていることを指摘してきました。実際、2011 年 4 月にシマンテックが発行したメッセージラボインテリジェンスレポートでは、Symantec.cloud で遮断された標的型攻撃の数が 1 日当たり 85 件と、2009 年 3 月以来の最高値を示したことが明らかにされています。2009 年 3 月の同じデータは 107 件でしたが、これは同年にロンドンで開かれた G20 サミットに向けて急騰したものでした。2010 年に流行した標的型攻撃では、知的財産を盗み出したり、物理的な損害を与えたりすることを狙ったものもありましたが、その多くはユーザーの個人情報を狙うものでした。

スピア型フィッシング攻撃の標的は不特定です。マスメディアで大きな注目を集めた標的型攻撃（Stuxnet や Hydraq など）には、知的財産を盗み出したり、物理的な損害を与えたりすることを狙ったものもありましたが、標的型攻撃の多くはユーザーの個人情報を狙うものです。Google の Gmail を狙った今回の攻撃もこのケースでした。

スピア型フィッシングは、交友関係の隙をついて蔓延しています。標的の名前やメールアドレスだけでなく、ある程度の個人情報も知られているので、メールメッセージも「Dear Sir（拝啓）」などではなく「Hi Bob（Bob へ）」のように個人に合わせた形のあいさつ文で始まる可能性があります。共通の友人や、ユーザーが最近オンラインで購入したものを話題にすることもあります。知人から送信されたメールのように見えるため、標的となったユーザーは警戒がゆるくなり、求められた情報を送信してしまうおそれがあります。まして、自分の知っている企業が緊急の対応を求めてきた場合には、考えるより前に行動してしまうでしょう。

スピア型フィッシングの攻撃者は、いったいどうやってユーザーを標的にするのでしょうか。その答は簡単です。ユーザー自身がコンピュータやスマートフォンからインターネット上で入力した情報を利用しているのです。たとえば、ソーシャルネットワークサイトを調べれば、あるユーザーのページ、メールアドレス、友人のリスト、さらにはオンラインショップで買った最新式のカメラについて友人に知らせる投稿、あるいは画期的な新技術に関する誰かのプレゼンテーションに関するページなどがすぐに見つかります。そのような情報を利用すれば、スピア型フィッシングの攻撃者は友人のふりをして電子メールを送信することも、ユーザーの写真ページを見るためのパスワードを聞き出すことも可能になります。ユーザーからパスワードが送られてくれば、攻撃者はそのパスワードだけでなく、類推できるパターンも使って、カメラを購入したというオンラインショッピングのサイトでアカウントにアクセスしようと試みます。正しいパスワードが見つかったが最後、悪用されて膨大な額の請求が届くことを覚悟しなくてはなりません。あるいは、攻撃者は同じ情報を利用してオンラインショッピングサイトになりすまし、ユーザーにパスワードのリセットやクレジットカード番号の再確認を求めるかもしれません。そうした要求に応じた場合にも、金銭上の損害が生じます。

最後になりますが、このような攻撃は高度標的型である場合が多く、個人の感情を狙ってくることも少なくありません。標的型のフィッシング攻撃に対する防御のためには、以下のベストプラクティスに従うことをお勧めします。
 
推奨事項
•    正規のメールサービスでも、購読が不要になったものは購読を取り消す。メール受信を登録するときは、同時にサービスに含まれる（オプトイン）内容を確認します。受け取りたくない内容については選択を解除してください。
•    電子メールアドレスを登録する Web サイトは慎重に選択する。
•    電子メールアドレスをインターネット上では公開しない。メーリングリストに登録するときは別のアドレスを使う、複数の目的に複数のアドレスを使い分ける、使い捨てアドレスのサービスを利用するなど、別のオプションを検討してください。
•    強力なパスワードを使う。またはシマンテックの VeriSign Identity Protection など、ユーザーが知っている情報と持っているものの両方を必要とする 2 要素認証を使う。
•    個人情報や口座情報は、SSL 証明書で保護された Web サイトでしか入力しない。鍵マーク、HTTPS、緑色のアドレスバーなどを確認してください。メール管理者が用意した指示に従い、可能な場合は遮断されなかったスパムについて報告してください。
•    スパムはすべて削除する。
•    電子メールや IM メッセージ中の疑わしいリンクは、詐称された Web サイトにリンクしている可能性があるのでクリックしないようにする。メッセージ中に記載されたリンクをたどるのではなく、ブラウザに Web アドレスを直接入力することをお勧めします。
•    オペレーティングシステムは最新の更新を適用して常に最新の状態に保ち、総合的なセキュリティスイートを導入しておく。
 
禁止事項
•    不明な電子メールの添付ファイルを開くこと。添付ファイルからコンピュータに感染するおそれがあります。
•    スパムに返信すること。一般的に送信者の電子メールアドレスは偽装されており、返信するとスパム攻撃が増加するおそれがあります。
•    個人情報や口座情報、パスワードを求めてくるメッセージのフォームに入力すること。信頼の置ける企業が、電子メールで個人情報の入力を求めてくることはありません。疑わしい場合には、確認済みの電話番号に電話を掛けるか、（メッセージ中のリンクをクリックしたり、コピーアンドペーストしたりしないで）既知のインターネットアドレスを新規のブラウザウィンドウに入力するなど、信頼できる手段で改めて対象となる企業に問い合わせるようにしてください。個人情報を入力するのは、自分自身がセッションを開始したときに限定してください。
•    スパムメッセージを通して商品やサービスを購入すること。
•    複数の Web サイトで同じログイン名とパスワードを使うこと。
•    スパムメッセージを開くこと。
•    電子メールで受信したウイルス警告を転送すること。デマであることも少なくありません。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。