フィッシング詐欺の現状とフィッシング詐欺の現状と対策について

フィッシング対策セミナー2013

フィッシング対策協議会（JPCERT/CC）フィッシング対策協議会（JPCERT/CC）

情報セキリュティアナリスト 山本健太郎

目次

フィッシング対策協議会についてフィッシング対策協議会について

日本のフィッシングの現状

世界のフィッシングの現状

フィッシング対策に関してフィッシング対策に関して

まとめ

2

フィッシング対策協議会について

3

フィッシング対策協議会の組織概要

設立

2005年4月

名称

フィッシング対策協議会 / Council of Anti-Phishing Japan フィッシング対策協議会 / Council of Anti Phishing Japan

会員

金融機関、信販会社、オンラインサービス、セキュリティベンダーなど

74組織が加盟 (2013年12月現在)74組織が加盟 (2013年12月現在)

会長 山口 英

運営委員長 加藤 孝浩

事務局 JPCERTコーディネーションセンター

目的

フィッシングの攻撃対象となり得る事業者又はその団体や 防御手段を提 フィッシングの攻撃対象となり得る事業者又はその団体や、防御手段を提供し得る事業者などにより構成される「フィッシング対策協議会」を運営し、フィッシングに関する情報収集・提供、動向分析、技術面の検討などを行う

4

を行う

フィッシング対策協議会の活動イメージ

情報共有事例の開示許可

フィッシングサイト事例の開示許可

被害事業者誘導メール確認・分析

フィッシングフィッシング対策協議会対策協議会

報告 掲載

事例公開

情報共有

事例公開情報共有、サイト停止(テイクダウン)依頼

Press

啓発活動啓発活動

プレス、メディア関係省庁協議会ML

Notice

5

フィッシング対策協議会の活動(その他)

① フィッシング対策セミナーの開催

② WGの開催

③ 情報共有会の実施

④ フィッシング対策ガイドライン実践 WorkShop④ 対策 践 p

昨年12月開催、フィッシング対策セミナーの様子 今年3月開催、情報共有会の様子

6

日本のフィッシングの現状

7

フィッシング報告件数の推移 (フィッシング対策協議会)

1000

フィッシングメール報告件数(2009年4月～2013年11月) 962件

800

900

1000

500

600

700

件数

200

300

400

数

0

100

200

/4

/6

/8

10

12

/2

/4

/6

/8

10

12

/2

/4

/6

/8

10

12

/2

/4

/6

/8

10

12

/2

/4

/6

/8

10

11月は９６２件と過去最高 報告が寄せられた

20

09

/

20

09

/

20

09

/

20

09

/1

20

09

/1

20

10

/

20

10

/

20

10

/

20

10

/

20

10

/1

20

10

/1

20

11

/

20

11

/

20

11

/

20

11

/

20

11

/1

20

11

/1

20

12

/

20

12

/

20

12

/

20

12

/

20

12

/1

20

12

/1

20

13

/

20

13

/

20

13

/

20

13

/

20

13

/1

8

11月は９６２件と過去最高の報告が寄せられた。

フィッシングサイト件数の推移(1)(JPCERT/CC) ～

2000

フィッシングサイト件数推移(2004年～2013年11月まで)

1818

14741600

1800

1212

1189

11361200

1400

サイ

ト件

数

650

696 649

1189

803

600

800

1000

フィ

ッシ

ング

サ

75

341

25

50

380272 311

369

200

400

600

2009年以降フ シング サイト件数は増加している

0 07

25

02004 2005 2006 2007 2008 2009 2010 2011 2012 2013

9

2009年以降フィッシングのサイト件数は増加している。

フィッシングサイト件数の推移(2)(JPCERT/CC) ～

250

フィッシングサイト件数推移(2013年1月～2013年11月)

149

174

208

160

220

200

数 149151

107

93 87

127

134

9199

150

シン

グサ

イト

件数

93 87

42 4030

2027 25

3341

91

3350

100

フィ

ッシ

2027 25

01 2 3 4 5 6 7 8 9 10 11

2013

月

日本のブランドをかたるフィッシングが増えている。

2013年

10

フィッシングサイトのブランド業種別割合(JPCERT/CC)

金融機関をかたるフ シングが約6割を占める金融機関をかたるフィッシングが約6割を占める。

11

ブランド業種の国内・海外別割合(JPCERT/CC)

国内は金融機関やオンラインゲームのフィッシングが目立っており、海外からの連絡は金融機関が多い。

12

フィッシングサイトのドメイン別集計(JPCERT/CC)

フィッシングサイトで使用されるドメインで多いのは.com .net .org など、最近は .asia なども増えている。

13

フィッシングサイトの稼働日数(JPCERT/CC)

100%

JPCERT/CC からの通知後のフィッシングサイトの稼働状況

80%

90%

100%

60%

70%

30%

40%

50%稼働状況

10%

20%

通知から1日で40%のサイトが止まり 4日で約80%のサイトが停止する

0%

14

通知から1日で40%のサイトが止まり、4日で約80%のサイトが停止する。

フィッシングメール事例(1)

よく見ると怪しい文章だが、ユーザーは騙されてフィッシングサイトへ誘導される

15

へ誘導される。

フィッシングメール事例(2)

アカウントの更新やメンテナンスなどを装い送付される。急いで更新を迫る内容となっている

16

る内容となっている

フィッシングサイト事例 (銀行)

第二認証情報を詐取するサイトが主流になっている。

17

フィッシングサイト事例 (クレジットカード)

18

クレジットカードのフィッシングサイトは継続的に見つかっている。

フィッシングサイト事例(ゲーム)))

19

オンラインゲームのフィッシングはRMTが関係している。

フィッシングサイト事例(プロバイダメール)))

20

多くのプロバイダーで、Webメールを狙うフィッシングサイトが見つかっている。

フィッシングサイト事例 (SNS サービス)

ソーシャル・ネットワークサービス(SNS)をかたるフィッシングに騙

21

ソ シャル ネットワ クサ ビス(SNS)をかたるフィッシングに騙されると、被害が第3者に及ぶ可能性がある。

フィッシングサイト事例(大学のWebメールアカウント)))

22

大学で使用しているメール(アクティブメールなど)のアカウントを取るフィッシングメールが多数見つかっている。

世界のフィッシングの現状

23

APWGとは

APWG (Anti-Phishing Working Group)

http://apwg.org/

設立：2003年11月 (非営利団体)設立：2003年11月 (非営利団体)

会員：金融機関、ソリューションプロバイダ、セキュリティベンダ、防衛産業、ISP、法執行機関、政府機関など2,000以上の企、 、 、 、 ,業が参加

2回／年 カンファレンスを開催

C t C i O ti S itCounter-eCrime Operations Summit

eCrime Researchers Summit

目的：フィッシング詐欺のみに留まらず、関連するオンライン犯目的：フィッシング詐欺のみに留まらず、関連するオンライン犯罪の手口、その対策手法についての研究、教育、政府機関との連携、啓発活動を全世界で行う

24次回は、香港で2014年 4月8日～10日に開催予定。

APWG Report(フィッシング件数の推移)

115472123476

120000

140000

83083

93642100000

67677

83083

72758

60000

80000

48244

40000

60000

20000

0

2010年上期2010年下期2011年上期2011年下期2012年上期2012年下期2013年上期

25

出典: APWG Global Phishing Survey 1H2013

APWG Report(ドメイン別の割合)

フィッシングサイトドメイン別の割合2013年1月～2013年6月

26

出典: APWG Global Phishing Survey 1H2013

APWG Report(フィッシングサイトの稼働時間)

27

出典: APWG Global Phishing Survey 1H2013

APWG Report(トピック)

仮想 有 が グさ グ が構築さ 仮想共有サーバがハッキングされ、フィッシングサイトが構築されている。

(フィッシング件数の27%)

フィッシングのターゲットの約40%が銀行、約17%がeコマースである。

Malicious Domain(フィッシャーが取得したドメイン) の82%が.COM,.TK,.INFOのドメインである。

短縮URLが使用して、誘導されるフィッシングは減少傾向にある。

28

出典: APWG Global Phishing Survey 1H2013

APWG Report(モバイル端末への脅威)

29

出典: APWG Wireless Device Fraud Working Group Report

フィッシング対策に関して

30

フィッシング対策とは

フィッシング対策とは？

どんなに予防をし も シ グサイどんなに予防をしても、フィッシングサイトをたてられるのは防げません！

事業者における 良くない対応例事業者における、良くない対応例サービス提供者の体制の不備について

利用者へのメール送信について

Webサイトの運用について

31

フィッシング対策(事業者における良くない対応例①)))

サービス提供者の体制の不備について

①フィッシングを含むインシデント対応の体制が整備されていない。

②利用者からの通報・相談窓口が明確でない②利用者からの通報 相談窓口が明確でない。

③フィッシング発生時の対応方法が未整備。

④サービスやシステム開発時にセキュリティを維持するための運用コストが考慮がされていない。

⑤利用者への啓発活動を行っていない。

32

フィッシング対策(事業者における良くない対応例②)))

利用者へのメール送信について

①利 者に送信する 様式がバ バ ある①利用者に送信するメールの様式がバラバラである。

②利用者に乱数表や秘密のパスワードなどの数字すべてを入力することは無いと伝えてない無いと伝えてない。

Webサイトの運用についてWebサイトの運用について

①ログインIDやパスワードの文字列の制限が緩い。

②振込などを行うページが、異なるドメインを使用している。

33

ガイドラインについて(1)

フィッシング対策ガイドライン

優先順位付け 優先順位付け

◎ 実施すべきと考えられるもの

○実施を推奨するもの

△場合によっては実施すべきもの

内容

サービス事業者におけるフィッシング詐欺対策

グ フィッシング詐欺被害を抑制するための対策

フィッシング詐欺被害の発生を迅速に検知するための対策

フィッシング詐欺被害が発生してしまった際の対策

消費者におけるフィッシング詐欺対策 消費者におけるフィッシング詐欺対策

フィッシング詐欺への備え

フィッシング詐欺に遭ってしまった時

34

ガイドラインについて(2)

利用者向けフィッシング詐欺対策ガイドライン

内容

フィッシングとは

あなたのパスワードが狙われている

フ シング対策３ の心得 フィッシング対策３つの心得

今すぐできるフィッシング対策

怪しいメールに注意しましょう

正しいURLにアクセスする 正しいURLにアクセスする

パソコンを安全に保ちましょう

フィッシング対策協議会と本ガイドラインの位置づけ

フィッシング詐欺への備え

フィッシング詐欺に遭ってしまった時

35

フィッシングサイトURLの提供

目的

ウ ブブラウザ (ツ ルバ 含む)やウイルス対策ソフトなどのフィッシン ウェブブラウザ (ツールバー含む)やウイルス対策ソフトなどのフィッシング対策機能にフィッシングサイトの URL を実装することで、フィッシングサイトが停止するまでの期間のユーザリスクを低減すること

提供開始日 提供開始日

2010年1月

提供先（16社）2013年12月 現在提供先（16社）2013年12月 現在

36

STOP. THINK. CONNECTとは

「STOP.THINK.CONNECT. 」

安全にウェブサイトへのアクセスするため、APWGとNCSA(National Cyber Security Alli ) が共同で行 ている活動Alliance) が共同で行っている活動

サイバー犯罪の被害を防ぐには利用者への普及啓発が重要と考え、同様の取組を行っているNCSAと共同で全世界へメッセージを届けている

STOP（立ち止まって理解する）

インターネットは便利ですが、一般社会と同様、そこには危険もあります。どのような危険があるかを知り 解決策をど ように見 けるかに いて 旦 立ち止ま て調べま険があるかを知り、解決策をどのように見つけるかについて、一旦、立ち止まって調べましょう。

THINK（何が起こるか考える）

様々な警告の見極め方を知る必要があります。警告を確認したら、これから取ろうとする様々な警告の見極め方を知る必要があります。警告を確認したら、これから取ろうとする行動がコンピュータやあなた自身の安全を脅かさないか考えましょう。

CONNECT（安心してインターネットを楽しむ）

危険を理解し、十分な対策をとれば、インターネットをより信頼できるようになるでしょうう。

37

STOP. THINK. CONNECT Partners

100強の著名な組織がSTOP THINK CONNECTのライセ 100強の著名な組織がSTOP. THINK. CONNECTのライセンスに署名し、パートナーである。

http://stopthinkconnect.org/get-involved/partner-program/our-partners

38

まとめ

日本のフィッシングの現状

日本を狙ったフィッシングの報告が増加している

金融機関を狙ったフィッシングは無くならない

オンラインゲームや通信事業者、大学で利用されるWebメールもターゲットとなっている

世界のフィッシングの現状

海外では銀行とeコマースのフィッシングサイトが多い 海外では銀行とeコマースのフィッシングサイトが多い

世界的にモバイルからの接続が増加

「Stop Think Connect」といった啓発活動が盛り上がりつつある

フィッシング対策

前提として、フィッシングサイトをたてられてしまうことは防げない前提として、フィッシングサイトをたてられてしまうことは防げない

ガイドライン(NG集など)を参考に対策を検討しておく

業界全体でユーザーへの啓発活動を行っていくことが大事

39

ありがとうございました。

お問い合わせ/サイト停止のご依頼は

フィッシング対策協議会

Email：info@antiphishing jpEmail：info@antiphishing.jp

Web: https://www.antiphishing.jp/

Twitter： http://twitter.com/antiphishing_jp

JPCERTコーディネーションセンター

E il ti hi hi @j t jEmail：antiphishing-sec@jpcert.or.jp

Tel：03-3518-4600

Web: https://www.jpcert.or.jp/Web: https://www.jpcert.or.jp/

40