国内外のフィッシング傾向と対策 - iajapan ·...

25
Copyright© 2007 JPCERT/CC All rights reserved. 国内外のフィッシング 国内外のフィッシング 傾向と対策 傾向と対策 小宮山 小宮山 功一朗 功一朗 早期警戒グループ 早期警戒グループ 情報セキュリティアナリスト 情報セキュリティアナリスト JPCERT JPCERT コーディネーションセンター コーディネーションセンター 2007 2007 5 5 28 28 IAjapan IAjapan 4 4 迷惑メール対策カンファレンス 迷惑メール対策カンファレンス

Upload: others

Post on 18-Jul-2020

4 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

Copyright© 2007 JPCERT/CC All rights reserved.

国内外のフィッシング国内外のフィッシング 傾向と対策傾向と対策

小宮山小宮山 功一朗功一朗早期警戒グループ早期警戒グループ 情報セキュリティアナリスト情報セキュリティアナリスト

JPCERTJPCERTコーディネーションセンターコーディネーションセンター

20072007年年55月月2828日日 IAjapanIAjapan 第第44回回 迷惑メール対策カンファレンス迷惑メール対策カンファレンス

Page 2: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

2Copyright© 2007 JPCERT/CC. All rights reserved.

アジェンダアジェンダ

1.1. オンライン詐欺事情オンライン詐欺事情株価操作株価操作SPAMSPAM (Pump and Dump)(Pump and Dump)標的型攻撃標的型攻撃

2.2. フィッシングフィッシング国内の現状国内の現状

海外の現状海外の現状

3.3. フィッシング傾向分析、対策フィッシング傾向分析、対策ボットを減らす(サイバークリーンセンター )

電子署名

Page 3: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

3Copyright© 2007 JPCERT/CC. All rights reserved.

JPCERT/CCJPCERT/CC とは

JPCERT コーディネーションセンター

(JPCERT/CC) は、世界規模に進化する

セキュリティインシデントに対応するため、我

が国を代表する CSIRT (Computer

Security Incident Response Team)

として、国際連携、予防・対策・対処、モニタリ

ングを行い、各国の CSIRT 活動の推進を

支援しています。

Page 4: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

4Copyright© 2007 JPCERT/CC. All rights reserved.

JPCERT/CC の活動内容

インシデント発生前の予防

リアルタイム状況把握

インシデント発生後

インターネット定点観測インターネット定点観測

脆弱性情報ハンドリング脆弱性情報ハンドリング

早期警戒(情報配信サービス、セキュリティ演習)

早期警戒(情報配信サービス、セキュリティ演習)

1996~ 2003~ 2004~ 2005~

インシデントハンドリングインシデントハンドリング

セキュリティ対応体制の強化

2006~

CSIRT構築支援ボットネット対策事業

CSIRT構築支援ボットネット対策事業

Page 5: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

5Copyright© 2007 JPCERT/CC. All rights reserved.

1. オンライン詐欺事情

Page 6: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

6Copyright© 2007 JPCERT/CC. All rights reserved.

迷惑メールとその内容

Symantec “The state of Spam – A Monthly Report – May 2007”より

1. 株価操作、投資/ローンの勧誘→ 21%

2. ナイジェリアからの手紙→ 8%

3. フィッシング/トロイの木馬を→ 4%

• 画像を使用した迷惑メールが3割以上

迷惑メールの内訳

22

21

21

16

8

5

43

Product health financial internet scams leisure fraud adult

Page 7: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

7Copyright© 2007 JPCERT/CC. All rights reserved.

株価操作スパム (Pump and Dump)

特定銘柄の株式を購入することを推奨するメールなどにより株価を不正につりあげた上で、自分が所有していた株式を売り抜ける行為。

2007年3月、米国証券取引委員会(SEC)により特定銘柄の取引が停止させられるという処置もとられた。

特徴狙われるのは米国のピンクシート銘柄とよばれる小規模の株式

株価操作から売り抜けまでは長くて1ヵ月攻撃者の手に渡った金額は追跡困難

Page 8: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

8Copyright© 2007 JPCERT/CC. All rights reserved.

株価操作スパム ケーススタディ

ケーススタディ:2006年12月15日金曜日

株価は6セント 出来高3500株週末にSpamキャンペーンが 行われた

2006年12月18日月曜株価は19セント出来高は484568株まで上昇した

2006年12月20日株価は45セントを記録

2006年12月27日出来高は65350株、株価は10セントまで下降した

2007年3月8日SECにより10営業日の取引停止処置

Page 9: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

9Copyright© 2007 JPCERT/CC. All rights reserved.

株価操作スパム 効果

484,568

3,500

0.45

0.06

0

100,000

200,000

300,000

400,000

500,000

600,000

2006

/11/

1620

06/1

1/20

2006

/11/

2220

06/1

1/27

2006

/12/

0120

06/1

2/05

2006

/12/

0720

06/1

2/11

2006

/12/

1520

06/1

2/19

2006

/12/

2120

06/1

2/26

2006

/12/

2820

07/0

1/03

2007

/01/

0820

07/0

1/10

2007

/01/

1220

07/0

1/17

2007

/01/

1920

07/0

1/23

2007

/01/

2520

07/0

1/29

2007

/01/

31

0.00

0.05

0.10

0.15

0.20

0.25

0.30

0.35

0.40

0.45

0.50

出来高

終値

単位:セント単位:セント1212//1616(土)(土),17(,17(日日))にスパにスパ

ムキャンペームキャンペーンン

SEC公表資料より作成

Page 10: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

10Copyright© 2007 JPCERT/CC. All rights reserved.

標的型攻撃

メール経由

特定の組織あるいは組織グループに対して、

「小泉首相靖国参拝」

「対日AD情報」 (注:アンチダンピング)「不祥事への対応について」

手口

攻撃サイトへのURLが付いている場合

マルウェアが添付されている場合(未修正の脆弱性を悪用することも)

Page 11: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

11Copyright© 2007 JPCERT/CC. All rights reserved.

アンケート ~ 被害の把握

標的型攻撃を受けた経験

1.2

1.8

2.5

2.6

6.5

0 5 10

1

パーセント

関係者を装ってマルウェア送付

関係者を装ったフィッシング

その会社の名前を使って顧客にマルウェア送付

その会社の名前を使って顧客にフィッシング

DoSを行うという脅迫行為

2007/3 国内の企業/組織を対象にJPCERT/CCがアンケート

調査を実施。

2000社中282社の回答

Page 12: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

12Copyright© 2007 JPCERT/CC. All rights reserved.

2. フィッシング

Page 13: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

13Copyright© 2007 JPCERT/CC. All rights reserved.

国内の現状 JPCERT/CCが把握しているもの

フィッシング3つの被害エンドユーザ: 個人情報を詐取される、オンラインサービスを不正利用されることによる金銭被害

オンラインサービス事業者: ブランドイメージへの悪影響、エンドユーザの被害補てんのための費用

サーバ管理者: 管理するサーバに侵入され、フィッシングサイトとして悪用される

JPCERT/CCの対応2004年4月からコーディネーションを開始

管理者が意図していないページ公開の停止依頼

Page 14: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

14Copyright© 2007 JPCERT/CC. All rights reserved.

JPCERTJPCERT/CC/CCに寄せられる報告に寄せられる報告

国内のサーバが侵入されフィッシングサイトとして使用さ国内のサーバが侵入されフィッシングサイトとして使用さ

れるケースは増えているれるケースは増えている。。

3 2 3 2 1 04 7 7

11 11 14

2327 28

2229

24

34 3137

2731

26

5460

4957

4755 53

3631

48

102

58

35

4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4

2004 2005 2006 2007

JPCERT/CCJPCERT/CCへの報告への報告 : 2004: 2004/4/4 ~ ~ 2007/42007/4

JPCERT/CCへのフィッシング報告は2005年の2倍に増加

JPCERT/CCへのフィッシング報告は2005年の2倍に増加

Page 15: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

15Copyright© 2007 JPCERT/CC. All rights reserved.

国内金融機関を装ったフィッシングサイト国内金融機関を装ったフィッシングサイト

時期2007年3月

被害にあったと報道されている企業DCキャッシュワン、モビット、みずほ銀行、SMBC

特徴.infoや.biz などのgTLDを使用している

詐取された情報

氏名、住所、メールアドレス、携帯電話番号口座番号やオンラインバンクのパスワード等は対象外

東急ファイナンスを騙る

フィッシングの標的となるのは金融サービス事業者だけではない

Page 16: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

16Copyright© 2007 JPCERT/CC. All rights reserved.

世界的な傾向被害の拡大

米国でのフィッシングの2006年被害額が28億ドルGartner 調査(http://www.gartner.com/it/page.jsp?id=498245)

このような現状を受け、”phishing” はオックスフォード英語辞書に掲載されるほどにメジャーになった

送金などの手法が洗練されてきている

E-goldが起訴される(2007/4)

ソーシャルエンジニアリング

津波、ハリケーン、銃乱射事件

悲劇の後にフィッシングあり

海外の現状

Page 17: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

17Copyright© 2007 JPCERT/CC. All rights reserved.

フィッシングにもお国柄が表れるスペイン – 宝くじ韓国 – オンラインゲーム

加害者は東欧やロシアの場合が多いとされている。被害者がどこに通報すべきか明確でない。

消費者保護団体(FTC)シークレットサービス/FBI地方警察CSIRT (JPCERT/CC, US-CERT, CPNI)

ISPや企業の担当者の連絡先の把握が困難。そのためサイト閉鎖などの対応の初動が遅れる

世界中に蔓延するフィッシング

Page 18: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

18Copyright© 2007 JPCERT/CC. All rights reserved.

スピア・フィッシングの脅威

出典: Social Phising, Indiana University (Dec 12, 2005)http://www.indiana.edu/~phishing/social-network-experiment/phishing-preprint.pdf

SNS(myspace.com, facebook.com, ebay)

インディアナ大学で2005年12月に行われた実験

学生900名にフィッシングメールを送付

ソーシャルエンジニアリングを使うと攻撃成功率が4倍に

フィッシングフィッシング ++ 特定の標的特定の標的 == スピアフィッシングスピアフィッシング

Page 19: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

19Copyright© 2007 JPCERT/CC. All rights reserved.

被害の70%は 初の12時間で起こっている

素早い対応が求められている

出典: Social Phising, Indiana University (Dec 12, 2005)http://www.indiana.edu/~phishing/social-network-experiment/phishing-preprint.pdf

Page 20: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

20Copyright© 2007 JPCERT/CC. All rights reserved.

日本の企業・ユーザが堂々と狙われる時代に2007年3月の一連のインシデント

JPCERT/CCへの報告件数が2006年は前年比2倍

犯人の特定が困難組織的、計画的な犯罪

ロシア・東欧・(ブラジル・中国)

標的型攻撃(スピアフィッシング)の増加

プロアクティブな対策、素早い対応が必要

フィッシング対策には次の一手が必要

現状のまとめ

Page 21: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

21Copyright© 2007 JPCERT/CC. All rights reserved.

これからのフィッシング対策を考える

メール送受信と関連するものSPAM対策(OP25B)送信ドメイン認証SPF/Sender ID,DKIMボット対策(総務省・経済産業省 連携 サイバークリーンセンター )

電子署名技術の普及

Page 22: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

22Copyright© 2007 JPCERT/CC. All rights reserved.

対策: 電子署名

メールで顧客に連絡するオンラインサービスにおいてはS/MIMEの利用が効果的

たとえば三井住友銀行は「平成18年5月22日(月)より、弊行が発信する電子メールに、電子署名をつけてお届けいたします。 」と発表

「署名されていないメール、警告が出るメールは信用しない」とアナウンス

Page 23: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

23Copyright© 2007 JPCERT/CC. All rights reserved.

対策:ボットを減らす

ボットは迷惑メール、フィッシングの発生源 そこで・・・

サイバークリーンセンター プロジェクト

インターネットにおける脅威となっているボットの特徴を解析

ユーザのコンピュータからボットを駆除するために必要な情報をユーザに提供する

ISPの協力によって、ボットに感染しているユーザに対し、ボットの駆除や再感染防止を促す

https://www.ccc.go.jp/

Page 24: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

24Copyright© 2007 JPCERT/CC. All rights reserved.

対策のまとめ

受身のフィッシング対策から能動的な対策に切り替える必要がある

技術だけでは問題は解決しない

オンライン詐欺全体への影響を意識

啓発活動の必要性は変わらない

JPCERT/CCは今後も関係各組織と協力の上、啓発活動を行ってまいります。

Page 25: 国内外のフィッシング傾向と対策 - IAjapan · 株価操作スパムケーススタディ ケーススタディ: 2006年12月15日金曜日 株価は6セント出来高3500株

25Copyright© 2007 JPCERT/CC. All rights reserved.

ご清聴ありがとうございました

JPCERT/CCへのお問い合わせ

Email:[email protected]

Tel:03-3518-4600

http://www.jpcert.or.jp/

インシデント報告

Email:[email protected]

http://www.jpcert.or.jp/form/