情報セキュリティの脅威はすぐそこに

フィッシングメールにどう気をつけ、立ち向かうか

「Microsoftを騙るフィッシングメールが出回る」という話題が、マイクロソフトのサポートフォーラムに始まりInternet Watchにも載り、マイクロソフトのTwitterアカウントによる注意喚起がなされ、さらにはNHKのニュースになるところまで広がりました。

フィッシング対策協議会は普段からそこそこの頻度で緊急情報を告知しているので良いのですが、NHKまで行くとちょっと大きな話になってきたという印象があります。このような注意喚起が大きな話になるのは良いことですが、「開かずに削除してください」とだけ告知されるのも片手落ちな感があります。

他の事例があまり話題にならずこれだけというのも、流量がわからないため何とも言えないのですが、違和感は感じてしまいます。マイクロソフトを騙ったということでクリック率が高そうという懸念があったことと、マイクロソフト自身が注意喚起をしたからということなのでしょうか。一方でそこまで注意喚起されなかった無数の事例との差は何だったのかというのも気になります。

NHKさんにおかれましては、クローズアップ現代などでもう少し突っ込んだ話に持っていっていただきたいものです。

ごく平均的なネットユーザの立場に立ってみると、開かずに削除するのは良いとして、「本物と偽物をどのようにして見極めればいいのか」という話に行き着きます。
今回話題のメールを見ると、「玄人目には一発で偽物とわかるけど、素人目にはちょっと難しいか」という微妙なラインの出来栄えです。1通サンプルを入手したので分析してみると、玄人目にアウトなポイントとしては主に下記のとおりです。

玄人目にアウトなポイント

  • 送信元がポーランド(ただしbotに感染したPCのような感あり)
  • マイクロソフトのメールを謳ってるものの、SPF判定はNone
  • DKIM署名は付いていない
  • 文中URLのアクセス先がロシア
  • マイクロソフトを名乗っているが、よく見るとmicrosoft.comやoffice.comではない
  • httpsではない

一方で素人目にクリックし、入力したくなるポイントは以下です。というよりは、これくらいのポイントさえ押さえておけば、一定の割合で開かれるメールは送れるという証左なのかとも思えます。

素人目にクリックし、入力したくなるポイント

  • 「セキュリティ警告」と書かれているため、ドキッとする内容で、対応しなければ不利益になりそうと思わされる
  • 日本語がある程度正確であり、スパム特有の怪しさは薄い
  • ドメインも一見「それっぽい」と感じてしまう

もはやフィッシングというよりは日本人全体を対象にした標的型メール攻撃とも言えるかもしれません。

実際の被害としては少なくとも IDとパスワードが搾取されている可能性があるようですが、必然的にOneDriveやoutlook.comの情報も丸見えになっている可能性があるため、影響は決して小さくないでしょう。
一方で意外と早くリンク先のサイトが閉鎖されたため、どこがどう動いたのかは不明ですがグローバルな対応は早かったようにも思えます。

今回のメールを技術的に拒否したりスパム判定を付ける術があるのかと考えると、文面にそこまでアウトな要素がないためベイジアンフィルタには引っかかりづらく、送信元のIPアドレスか文中のURLがブラックリストに載らない限り判別できないのではないかと思います。

SPFやDKIMは「本物のドメインになりすます」ことに対しては有効ですが、「似たようなドメインを取得」してしまえば回避することはそんなに難しくはないわけです。具体的な実装があるのかもしれませんが、ブラックリストの逆で真っ当なメールはドメインやIPアドレスのレピュテーションを蓄積し、本物を本物と判別するというアプローチも必要になってくるのかもしれません。本来であればS/MIMEやPGPがそのためのソリューションですが、知名度・普及度・難易度のいずれもいまいちなため、「素人目のわかりやすさ」との両立が難しいことがまたネックでもあります。

一時期までは日本語スパムメールはそもそも日本語に不自由なことが多かったため、素人目にも判別しやすいという特徴がありましたが、そこがクリアされると受信者側の胆力に頼らざるをえないというのも歯がゆいところです。そういった意味でも「一般ニュースになる」ことは一定程度は有効なのかもしれません。