ヤフーにおけるフィッシング対策

  • このエントリーをはてなブックマークに追加

こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術の戸田 薫です。

本稿は、経済産業省とフィッシング対策協議会が主催して行われた「フィッシング対策セミナー」(2010年1月28日(木)東京会場)で発表した内容と一部を除き、同様です。

フィッシング対策協議会 Council of Anti-Phishing Japan

世の中には、いろいろな犯罪やイタズラなどの問題があります。ウェブの世界でも同様の問題があります。ヤフーでは、ウェブサービスを安心して利用して頂けるように、さまざまな不正利用の対策を行っています。
ヤフーには数多くのサービスがあり、それぞれのサービスでフィッシングやスパムといったいろいろな問題に対策を講じてきました。
しかしながら、個々のサービスで行える対策の限界があり、それぞれのサービスのもっている情報をあわせることにより、より高度な対策を考え出すことが可能になります。
そこで、特にフィッシングやスパムとかかわりの深いと考えられるいくつかのサービス(ID登録、ログイン、メール、オークション、ツールバー)とセキュリティプラットフォームでヤフーの問題を解決していくためのプロジェクトを発足しました。 そのプロジェクトは、Zeroと呼ばれ、定期的に現状報告を行いつつ、新たな施策を考えながら活動をしています。

本稿は、まず、フィッシングを仕掛ける動機について考え、フィッシングというのがどのようにかわってきたのか、その手口や傾向はどのようなものか、そして、ヤフーのフィッシング対策における取り組み、最後に今後の見通し、となっています。

フィッシングを仕掛ける動機とは?

フィッシング対策の話に入る前に、フィッシングを仕掛ける動機を考えてみました。 例えば、以下の動機があるのではないでしょうか?

  • 悪い事をしてでも儲けたい
  • ネットならではの手軽さ
  • 24時間いつでもどこでも
  • 数打てば当たる
  • 逃げるのが簡単
  • 捕まっても軽い罪

フィッシングを行う動機として、まず「儲かる」ということがあります。 インターネットで行うことにより、いつでも、どこでも、手軽に多くの人を相手にすることが可能になります。
 スパムメールを簡単に大勢の人に送信できます。スパムメールを送るためのメールアドレスの収集も簡単にできます。
 たとえば、ウェブページをクロールすることによって、そのページに書かれているIDを収集して、よく利用されているウェブメールのドメインや携帯電話のメールアドレスのドメインなどをIDにつけることで、メーアドレスを作れます。
郵便として手紙を送るのと違い、メールなら切手代やあて先やスパムの文面の印刷も必要ありません。
 銀行強盗に行くとするならば、行ける時間が銀行の営業時間内に限られてしまいます。
たくさんの人にスパムを送れば、誰かしらひっかかってくれます。 フィッシングサイトは見つかってつぶされても、またすぐに別のところで同様のサイトを開設できます。サイトをつぶされては、移動を繰り返して、スパムを送り続けるのは、容易に行えます。
銀行強盗に行ったときに、逃げ出すのって大変ですよね。

フィッシンググループにとって  ヤフーは格好のターゲット と考えられます。
Yahoo! JAPAN IDを持っている方は、たくさん、いらっしゃいます。
現在、2400万ID以上のお客様がいらっしゃいます。またプレミアム会員数も760万ID程度となっています(参考: IR関連情報 2010年7月 月次報告(2010年8月10日発表))。 ヤフーには、オークションやヤフーポイントがあり、簡単にマネタイズすることが可能です。
そういった意味で、ヤフージャパンは格好のターゲットになってしまうと考えられます。

フィッシング被害にあいそうな人物像として

  • インターネットおける詐欺などに詳しくない
  • URLのドメインをあまりチェックしない
  • ログインページが出てくると反射的に入れてしまう
  • 自分はフィッシングにあわないと思っている

が挙げられるのではないでしょうか?

我々の考えるペルソナというのがあり、こういった人がフィッシングに引っかかりやすいと考えられます。
自分が大丈夫と思っている人ほどひっかかると我々は思っています。

フィッシングの変遷

フィッシング協議会の2009/12 フィッシング情報届出状況の報告によるとフィッシングサイトのURL件数が右肩上がりで推移しています。

ヤフーのカスタマーサポートに報告されるフィッシングの報告件数も2009年に急増しました。
お問い合わせフォームやヤフーツールバーからヤフーに報告できます。

2008年の期間においては、一時的にフィッシング報告数が減っています。この期間においては、不正に乗っ取られたIDの利用が問題になりました。
不正に利用されたIDを、ヤフーではIDを停止することで対応しました。
2008年の10月からは、オークションとログインチームと私のチームで協力し、不正なID利用の対策を進めることで問題を解消してきました。

2009年の12月に報告の数が増えていますが、この理由には、ツールバーのバージョンアップがされて、報告機能が充実したのと、ツールバーを普及するために、プロモーション活動を通して、利用者を増えたためです。
報告件数は増えていますが、重複している件数が多いため、実際にカスタマーサポートが確認したフィッシングサイト数が大幅に増えたわけではありません。

ヤフージャパンがフィッシングサイトを確認した上で、ISPに連絡し、フィッシングサイトを閉鎖するようにしています。
2009年のフィッシングサイト閉鎖依頼件数は、右肩上がりの対応をしています。 12月に対応件数が減っていますが、この背景には、12月にフィッシング詐欺グループが警察に逮捕されたことによって、フィッシング行為が減ったのではないかと考えられます。

2009年のフィッシングサイト閉鎖依頼件数は、オークションの割合が増え、2009年8月からは、ほぼオークション関連となっていました。


依然としてYahoo!オークションを語るケースが多いです。
近年、特にフィッシングが増加しています。
この図は、手口の変化とフィッシングの相関図です。
1999年頃は、自分でIDを取得し、オークション詐欺を行うという単純な手口でした。
ヤフーが対策を強化するにつれて、単純な手口は減少し、自分たちでIDを取ることが難しくなってため、フィッシングで他人のIDを取得する、という手法になってきました。
さらに対策を行うと、今度は、ID + パスワードというフィッシングから住所・氏名・クレジットカード番号といった個人情報にターゲットが変化し、オークション以外でマネタイズするようになりました。

その手口や傾向はどのようなものか?

フィッシングの手口について、いくつかご紹介します。

ヤフーを装ったメール


これは実際にあったメールで、問題になるところは伏せています。
フィッシングメールでは、ヤフーを装ったメールを送り、たくみに受信者をだまそうとします。
これはヤフーオークションを装ったメールです。
URLのところには、 ヤフーオークションを連想させるような文字列が入っています。
このメールでは、ヤフーアクション(yahoo-action)と書いてあります。
この背景には、ヤフーメールのフィッシング対策機能で URLに yahoo auctionの文字列が含まれているとスパムが届かないと推測して、オークション(auction)をもじった、アクション(action)という文字列を使ったのではないかと考えられます。 見間違いやすさを狙う古くからある手法です。


フィッシングメールからフィッシングサイトに誘導します。
ID/パスワードを奪うものから、個人情報を丸ごと奪い取るものがあります。
上記の図では、氏名、住所、電話番号の入力するフォームがありますが、下の方にはクレジットカード番号、有効期限、セキュリティコードの入力欄もあります。
このページは、ID/パスワードの取得が目的ではなく、個人情報を奪い取ることが目的で作られています。
ヤフーの場合、クレジットカード番号をサイト上で表示する機能をセキュリティ上の理由で提供していないため、アカウントを盗むよりも、直接、クレジットカード番号を入手するほうがより効率的です。
実際にあったフィッシングサイトで「 http 通信であることを確認」と説明がありました。
ヤフーの個人情報を入力するページは、 https 通信を利用していますので、 http 通信のページで個人情報やパスワードの入力を求めることはありません

外部で盗み、ヤフーで悪用する


たとえば、メールアドレスで面白そうな懸賞サイトへの勧誘がきます。
そのサイトは、利用のためにメールアドレスとパスワードを登録する必要があります。
このときにヤフーのメールアドレスとヤフーのIDで利用しているパスワードを登録します。
ヤフーのメールアドレスの 「 @yahoo.co.jp 」の前は、Yahoo! JAPAN ID です。 つまり、Yahoo! JAPAN ID とパスワードのセットを懸賞サイトに登録したことと同義になります。

その懸賞サイトは犯罪者が運営しているサイトである場合、登録したメールアドレスとパスワードが悪用され、オークションで不正出品されてしまう、かもしれません。

ヤフー以外のサイトで会員登録を行う場合には、登録するIDやパスワード、メールアドレスには、注意が必要です。

日本国内のフィッシング詐欺グループ逮捕

2009年12月に逮捕された詐欺グループの事例では、ネット大手「ヤフー」のオークション登録会員に「登録情報の更新が必要」などという内容で約140万通ものメールを送り 、ヤフーのサイトに似せた偽サイトにアクセスさせ、約2700人のカード番号などを不正に入手したとありました。
カード番号を利用して、インターネット上で商品を購入し、換金していました。 その詐欺グループは、主犯格1人、4人のアルバイト(時給1000円)で構成されていました。
この5人で1億円近くも不正に稼いでいました。
これだけの金額を比較的容易に稼げてしまうことが、フィッシングがなくならない要因なのではないでしょうか。

複雑化するコンピュータセキュリティへの脅威

ID使い捨て、パスワードクラッキング、コードインジェクション、XSS、スパムメール、コンピュータウィルス、スパイウェア、ボットネット、フィッシングなどさまざまな手口があります。
ツールキットでウィルスやマルウェアが簡単に作成することもできます。
ボットネットはレンタルサービスを利用して使うことができます。
スパムメールでマルウェアを配信するサイトに誘導し、マルウェアに感染させて、パスワードを盗み出し、サイト上では個人情報を奪い取る、など複合的な攻撃などを容易に実現できます。
どんどん高度化、複雑化していく中で、油断していると誰もが被害にあう時代になってきたのではないでしょうか。

ヤフーのフィッシング対策における取り組み

さまざまな手口がありますが、ヤフーでの不正利用対策について、いくつかご紹介いたします。

ログイン3兄弟

ヤフーのログインには、いくつかのセキュリティ対策機能が実装されています。
外向けに提供している主な機能について紹介します。
社内では、下記の3つの機能のことをログイン3兄弟と呼んでいます。

  • ログインアラート
  • ログインシール
  • ログイン履歴

ログインアラート: ログインをメール通知


ログインアラートは、Yahoo! JAPAN IDでログインしたときに、設定したメールアドレスに対して通知する機能です。
IDとパスワードが盗まれて、ログインされたときに、この機能により、不正なログインに気づくことが可能になります。
気づいたときに、ログインロック機能を使って、パスワード変更するまでログインをできなくすることができます。

ログインアラートの生い立ちについては、 「ログインハックからログインアラートに」 を参考にしてください。

ログインシール: 自分だけの画像が目印

ログインシールは、フィッシング対策機能です。


ログインシールは、ログインページに任意の画像を貼り付ける機能です。
ヤフーのログイン以外のサイトでこのログインシールを表示することが難しいため、ヤフーのログインページを偽装したサイトに誘導されても、ログインシールがないので、ヤフーのログインページではないということに気づくことが可能になります。

ログイン履歴


ヤフーのトップページの「前回のログイン」のリンクから見られるログイン履歴では、ヤフーでのログイン履歴を確認できます。


どこのIPからどこのサービス経由でいつログインしたか、といったことがわかります。
この履歴により、ID/パスワードが盗まれ、不正に利用されたことを調べる手がかりになります。
ログインアラートと併用すると良いでしょう。

ツールバー

ヤフーでは、ツールバーを提供しています。 ツールバーには、いろいろな機能がありますが、セキュリティ向けの機能も搭載しています。


ヤフーツールバーの最新のバージョンでは、フィッシング警告機能が強化されました。
ヤフーのログインなどのSSLページにアクセスすると、シールドのアイコンが緑になり、個人情報の入力が必要なページでは、シールドがオレンジになって、利用者に注意を促します。


ヤフーツールバーを利用しているときに、フィッシングサイトにアクセスすると、画面のような警告ウィンドウが表示されます。

JPCERT/CCおよびフィッシング協議会が収集したフィッシングデータをヤフーに提供して頂き、ツールバーの機能強化を図っています。

参考 Yahoo! JAPAN、フィッシング対策協議会およびJPCERT /CCと連携し、「Yahoo!ツールバー」のフィッシング警告機能をさらに強化


クレジットカード番号を入力させるようなページから、データを送信するときに、 そのページから、送信先のアドレスに 入力した内容を送信してよいか、ツールバーが確認画面を表示されます。

Yahoo!メールのフィッシング対策機能


ヤフーを装ったメールへの対策として、ヤフーメールでは、Yアイコンという機能を実装しました。
ヤフーからのお知らせのメールの場合、Yアイコンを表示します。
これにより、ヤフーから届いたお知らせであるこが、視覚的に確認できます。
スパムメールの場合、ヤフーを装ったメールであってもYアイコンが付かないため、そのメールは信用してはいけないことが簡単に解ります。

啓蒙(けいもう)活動への取り組み

ヤフーがフィッシングに対して有効な機能を提供していても、それを利用して頂けなければ、意味はありません。
フィッシング・セキュリティに対抗する機能を利用して頂くためには、それを利用するお客様がフィッシングなどの問題があることを理解していなければなりません。
お客様自身が意識していなければ、問題を回避することは困難です。

そのために、ヤフーではいろいろなコンテンツを提供しています。
たとえば、Yahoo! JAPAN IDガイドがあります。

IDを利用した不正利用が多く考えられるため、IDを守ることがやはり一番重要です。
私のチームでもYahoo! JAPAN IDを守るために、特に Yahoo! JAPAN ID 登録やログインのセキュリティ対策の支援に力を注いでいます。
外部で盗み、ヤフーで悪用する で紹介した例の対策としては、サイトごとに違うパスワードを設定することです。
詳しくは、 サイトごとに違うパスワードを! - Yahoo!セキュリティセンター を参考にしてください。
こういったこともお客様によく知っておいて頂く必要があると考えています。

ヤフオクでもヤフー内での不正出品検知などの仕組みを使って、対策を行っていますが、それだけでは防げない手法もあるため、お客様にもその手口を知っていただき、気をつけて頂くことが重要です。
そのために、ヤフオクでも Yahoo!オークション安全対策研究所で啓蒙(けいもう)活動を行っています。


このような取り組みも多くの人に見て頂けなければ、意味がありません。
ヤフーはたくさんのお客様に利用されるサイトであるため、プロモーションなどを通じ、効果的に啓蒙(けいもう)していけると考えています。


ヤフーでは、Yahoo! JAPAN IDの第三者への譲渡、貸与などを禁止しています。
これは、第三者がそのIDを悪用されてしまうかもしれないからです。
うっかり犯罪に加担してしまわないように、IDの取扱の重要性について知っていただくことも必要です。


ヤフーでは、セキュリティセンターやYahoo! JAPAN IDガイドによる啓蒙活動を行うと共に、 機能として

  • 不正利用を気付く仕組み
  • 利用者にアクセス先がヤフーであることを気付いてもらえる仕組み
  • 利用者を守る仕組み
  • 不正利用を気付く仕組み

を提供しています。 また、ID売買の法的規制への働きかけや、警察から犯罪などの問題解決のために正式な要請があったときに協力を行っています。

今後の見通し

ヤフーは、「ソーシャルメディア化」「Everywhere化」「地域・生活情報」そして「オープン化」という4つの成長戦略を掲げています。それぞれの柱には、共通してセキュリティ対策が必要になります。
攻撃の手法も複雑化や複合化していっていますが、今後はよりシステムの構成も複雑になり、より高度な対策が必要になると考えています。OAuthを利用した連携などが今後も進んでいき、サービスプロバイダとして今までよりもよりセキュリティを意識する必要があります。
これからもお客様にヤフーを安心して使っていける安全なサービスが提供していけるように努めていきたいと思いますので、今後ともよろしくお願い致します。

Yahoo! JAPANでは情報技術を駆使して人々や社会の課題を一緒に解決していける方を募集しています。詳しくは採用情報をご覧ください。

  • このエントリーをはてなブックマークに追加