フィッシング攻撃と戦う--「Firefox 3」ユーザーのための対策講座

　フィッシングという言葉を耳にするだけで、不安をかきたてられたり、身構えたりしてしまうはずだ。フィッシングとは、（安全なウェブサイトに見せかけた）偽のウェブサイトにユーザーを誘導して個人情報を騙し取るという詐欺行為のことである（関連英文記事）。そしてフィッシングで最も多く見られるのは、ユーザーにクレジット番号や銀行の口座番号といった情報を入力させるというものだ。この場合、入力された情報が悪意のあるウェブサイトに送信されているということなど、当のユーザーは露ほども思っていないのである。

　フィッシング（phishing）という言葉は、電話回線を不正に使用するフリーキング（phreaking）というサブカルチャーに由来するものである。ただし、フィッシングはフリーキングとは異なり、サブカルチャーを超えた存在になっている。また、フィッシングは現在、日常的に行われており、その被害総額は莫大な額にに上っている。

　幸いなことに、最近のブラウザは以前のものに比べるとずっと賢くなっている。Firefox 3にも、フィッシング攻撃の検出に長けたフィッシング対策機能が搭載されている。しかし、Firefoxにフィッシング対策テクノロジが組み込まれているからといって、あなた（そしてあなたのユーザー）がそれだけで満足してよいということにはならない。今回の記事では、フィッシング攻撃と戦うために追加で行える対策とともに、ブラウザが実際にフィッシング攻撃を検出していることを確認するための手段を紹介する。

Firefoxに組み込まれている機能

　追加で行える対策を紹介する前に、Firefoxがデフォルトで提供している機能について説明しておこう。この機能は、ユーザーがアクセスするウェブサイトと、既知の悪質なサイトのリストを照合することで実現されている。なお、これは「Google Safe Browsingプロトコル」（Protocolv2Spec）に基づいたものとなっている。

　この機能はデフォルトで有効となっているが、実際に有効になっていることを確認するには、［ツール］−［オプション］（Mac OS Xの場合は［Firefox］−［環境設定］）をクリックし、［セキュリティ］タブ（図A）を選択すればよい。このタブの「Block reported attack sites」（攻撃サイトとして報告されているサイトをブロックする）と「Block reported web forgeries」（偽装サイトとして報告されているサイトをブロックする）というオプションが、双方ともチェックされているはずである。これらのオプションがチェックされていない場合には、チェックしてから「オプション」ウィンドウを閉じるようにしてほしい。

図A このタブでは、「Warn me when sites try to install add-ons」 （アドオンのインストールを求められたときに警告する）というオプションがチェックされていることも確認できる。

　Firefox 3に組み込まれているフィッシング対策機能は、ユーザーが詳細な動作を設定するようにはできていない。しかし、デフォルトで提供されている機能が十分でない場合にはどうすればよいのだろうか？この機能がいかに優れていようとも、いつかは破られることになるはずである。こういったことを考えた場合、「簡潔であるほど良い」という格言は必ずしも当てはまらない。では、あなたにできることは何だろうか？

　まず行うべきことは、「Petname Tool」アドオンのインストールである。このアドオンをインストールすることで、暗号化されたサイトにアクセスした際に、サイトの証明書に愛称を対応付けることができるようになる。対応付けを行った後は、愛称を付けたサイトにアクセスすると、ツールバー上にある愛称用の小さなテキストボックスにその愛称が表示されるようになる。Petname Toolは以下の手順でインストールすることができる。

1. ［ツール］−［アドオン］をクリックし、「アドオン」ウィンドウを表示する。
2. ［アドオンを入手］タブで「petname」を検索する（「」自体の入力は不要）。
3. Petname Toolアドオンを選択し、［Firefoxに追加］ボタンをクリックする。
4. Firefoxを再起動する。

　インストールが完了すると、ブラウザ上にPetname Toolのツールバーが表示されるようになる。おそらくは検索バーの右横に表示されるはずだ（図B）。

図B まだ愛称を付けていないサイトにアクセスすると、デフォルトで「unknown site」と表示されるようになっている。

　例として、PayPalのサイトに愛称を付けてみよう。Petname Toolアドオンがインストールされている状態でwww.paypal.comにアクセスし、同アドオンに「PayPal」と入力（「」自体の入力は不要）し、Enterキーを押下する。なお、愛称を付けた後で「petname」フォルダ（ブックマークツールバー上に配置されている）をクリックすると、その愛称が表示されるはずである（図C）。

図C ウェブサイトに付ける愛称は、実際のサイトと何の関連がなくても構わない。後でそのサイトにアクセスした際に思い出せさえすればよい。

　サイトに愛称を付けたのであれば、再びそのサイトにアクセスし、Petname Toolのツールバーを確認してほしい。該当サイトを詐称しているフィッシングサイトにアクセスした場合、あなたが該当サイトに付けた愛称は表示されないはずである。

Firefoxの動作確認テスト

　また、Firefoxのフィッシング対策機能がきちんと動作しているかどうかをテストすることもできる。これには、Mozilla Foundationが用意している「It's a Trap!」というページ（偽装サイトのテストページ）を閲覧するだけでよい。図Dのような警告（偽装サイトとして報告されています！）が表示されたのであれば、Firefoxのフィッシング対策がきちんと動作しているということになる。

図D 「Ignore this warning」（この警告を無視する）をクリックすると、該当サイトを表示させることができる。その際にもページの上部に「偽装サイトとして報告されています！」というメッセージが表示される。

Netcraft Toolbar

　こういった偽装サイトへの対策を行うツールとしてNetcraft Toolbarというアドオンもある。このアドオンのアプローチは、上記で紹介したものとは大きく異なっている。Netcraft Toolbar（図E）では、リスク評価やサイトのランキングとともに、レポート（このレポートは、該当サイトに関してNetcraftが提供する情報を表示するものであり、悪質なサイトを報告するためのものではない）へのリンクが表示されたツールバーがインストールされる。また、ドロップダウンメニューからサイトに関するレポートを送信することもできる。

備考：Netcraft Toolbarアドオンのインストール方法は、基本的にPetname Toolアドオンと同じである。

図E 偽装サイトを報告することも可能であるし、偽装サイトではないにもかかわらずアクセスをブロックされたサイトを報告することも可能である。

　ユーザーにとって、このツールの最も重要な機能はリスク評価機能だろう。このツールでは、ツールバー上にあるRisk Ratingという項目が緑色（該当サイトのリスクが低い場合）あるいは赤色（該当サイトのリスクが高い場合）で表示されるようになっている。なお、サイトのリスクは複数の判断材料を用いて評価されている。1つの大きな判断材料として、そのサイトがいつから運営されているのかというものがある。このため、あなたがサイトの安全性に100％の自信を持っている（それは、あなた自身のサイトということもあるだろう）場合であったとしても、比較的新しいサイトであればリスクが高いと判定されることもある。理由はどうであれ、リスクの高いサイトに関しては常に安全を優先させるのが良いだろう。

最後に

　フィッシングというものが世の中から消えてなくなることはおそらくないため、出来る限りの対策を講じておくに越したことはない。本記事で紹介している2つの素晴らしいアドオンと組み込みの防御機能に守られたFirefoxは、フィッシングと戦っていくだけの力と信頼性を備えていると言えるだろう。