EMCジャパンのRSA事業本部は1月29日、オンライン犯罪に関する最新状況について説明した。イスラエルに拠点を持つ、同社のRSA AFCC(不正対策指令センター:Anti-Fraud Command Center)の調べによると、2012年12月のフィッシング総攻撃回数は2万9581件となったという。
「11月に比べると、約3割の減少となっているものの、約3万件という高い水準を維持しており、右肩上がりの状況には変わりがない。また、攻撃を5回以上受けた企業の占める割合は半数を占めており、限られた一定のブランドに対して攻撃が繰り返されている」(EMCジャパン RSA事業本部マーケティング部シニア・マーケティングプログラム・マネージャーの水村明博氏)
2012年の年間フィッシング攻撃総数は44万5004件となり、前年の27万9580件に比べて59%増となっており、攻撃件数では過去最悪を大幅に更新することになった。月間で3万件を超えたのは、2011年は1回だけだったが、2012年は8回も超えているという。
水村明博氏
「検知能力が高まったという背景もあるが、月間3万件の水準が当たり前となり、最も少なかった3月の水準でも、2010年の実績では最も多くなる月間件数規模になっている」(水村氏)
水村氏は「フィッシングが増加している背景には、フィッシングサイト構築のキットの販売が横行しており、SaaSを利用することでフィッシングサイトを立てやすいという点が挙げられる。コードを書かずに、ブログサイトを構築する形で書くことができる。フィッシングサイトには、いまだに多くの人がだまされており、フィッシング犯にとって、投資対効果が高いという点も見逃せない」と状況を説明する。
-
過去8年間の年間攻撃件数推移(出典:EMCジャパン)
-
2013年月間フィッシング攻撃数の推移(出典:EMCジャパン)
-
日本国内でホストされたフィッシング件数(出典:EMCジャパン)
-
国別にみたフィッシング攻撃を受けた回数(出典:EMCジャパン)
-
Bouncer Phishingの流れ
同社では、世界経済がフィッシングによって受けた被害金額は、前年比22%増の150億ドルに達したとみている。国別のフィッシング攻撃被害では、米国が46%と最も多く、続いて英国の19%、インドの8%、カナダの5%、南アフリカの3%となっている。
企業ブランド別では、英国のブランドへの集中攻撃が顕著にみられており、全体の47%を占めているという。「英国の特定の銀行やブランドへの繰り返し攻撃がしばらく多かった。だが、ここにきて米国のブランドへの攻撃が増加している」(水村氏)
一方で、日本でホストされた攻撃件数が一気に増加しているのも特徴だ。「2011年12月には466サイトにまで増加。これが2012年前半まで続いた。日本のホスティング事業者でも、気を抜けば犯罪の温床に利用されることになる。これらの攻撃は、日本の金融機関を狙うものではなく、海外の金融機関を狙うもの。日本の金融機関を攻撃する場合には、むしろ海外のサイトを利用する場合が多い」という。
同社は、「フィッシング攻撃総数、2012年も大幅記録更新」「日本でホストされた攻撃の件数が一時急増」「英国のブランドへの集中攻撃が顕著に」の3点をRSA AFCCからの3大トピックスとした。さらに「Bouncer List Phishing」と呼ばれるフィッシング攻撃が増加していることも明らかにしている。
Bouncer List Phishingとは、特定のターゲットに対して、IDを付与したメールなどを送信。IDがないアクセスに対しては、サイトが閉鎖されたように見せかけるというもの。IDが付与した特定の利用者だけが、フィッシングサイトにアクセスできるというものだ。
水村氏は「Bouncerとは、ナイトクラブの入口に立つ用心棒のことを指し、Bouncer Listは入店を認めない客のリスト。フィッシング詐欺師にとって、捜査官などのアクセスを拒否するための仕組み」と説明する。
これまでのように、不特定多数を対象に1億通といった数のフィッシングメールを送信すると、セキュリティベンダーや警察関係者に発見されやすく、通報されるという犯罪者側にとってのリスクが高まる危険性がある。特定のユーザーにターゲットを絞り込むことで、発覚が遅れ、フィッシングサイトへの投資の持続時間を延ばすといった狙いがあるとみられる。
水村氏は「警察関連機関やセキュリティベンダー、IT業界が連携し、官民を挙げた取り組みを強化しており、フィッシングサイトの閉鎖やボットネットの解体、マルウェアの解析といったことが進められており、フィッシング犯にとって大きな課題が生まれてきた。そのために活用された新たなフィッシング攻撃法がBouncer List Phishingになる」と説明している。
「Bouncer List Phishingは、正規サイトが犯行の舞台になっていることが多い。脆弱性が残るWord Pressのプラグインを使用していたことでウェブサイトが乗っ取られている。サイトを乗っ取られないためには、オープンソースのCMSや、ブログシステムの脆弱性を有するプラグインの利用を止めることが必要であり、個々のサイトの管理者の意識と知識の向上が不可欠である」(水村氏)
