中国のフィッシング対策事情とは?――フィッシング対策セミナー | RBB TODAY

中国のフィッシング対策事情とは?――フィッシング対策セミナー

ここでは、経済産業省、およびフィッシング対策協議会(事務局:JPCERTコーディネーションセンター)主催の「フィッシング対策セミナー」基調講演で語られた、中国フィッシング事情と日本の現状報告をとりあげたい。

ブロードバンド セキュリティ
Anti-phishing Alliance of China(APAC)副事務局長 Xiao Bohan氏
  • Anti-phishing Alliance of China(APAC)副事務局長 Xiao Bohan氏
  • APACの組織構造
  • 中国でのフィッシングサイトの事例:地震被害の寄付やテレビ番組のサイトを装ったものが確認されている
  • 中国国内のフィッシング被害の報告件数統計
  • 中国のドメイン名別フィッシングサイト比率。APACが稼働を始めてから.CNドメインのフィッシングサイトが激減。代わりに.COMのフィッシングサイトが急増
  • 中国のフィッシング対策事情とは?――フィッシング対策セミナー
  • トップ4の被害件数比較。Taobaoが突出して多い
  • フィッシング対策協議会 小宮山功一朗氏
 経済産業省、およびフィッシング対策協議会(事務局:JPCERTコーディネーションセンター)主催の「フィッシング対策セミナー」では、Anti-phishing Alliance of China(APAC)副事務局長 Xiao Bohan氏による基調講演が行われた。ここでは、基調講演で語られた、中国フィッシング事情と日本の現状報告をとりあげたい。

 Bohan氏は、中国でもネット人口や国内ドメイン数が増えるにつれて、関連する犯罪や問題も増えているという。またAnti-phishing Alliance of China(APAC)副事務局長 Xiao Bohan氏によれば、フィッシング詐欺も例外ではないという。そのため、中国では2008年にCNNIC(中国の地域レジストリ)がイニシアティブをとってフィッシング対策のためにAPACを設立した。APACでは、中国国内の金融機関、ECサイト、プロバイダ、セキュリティベンダーなど300社近くが会員となり、フィッシングサイトの情報共有や対策技術の研究、海外機関との連携・調整を行っている。また、会員以外の企業やユーザーからの被害報告などを受け付ける窓口も持っている。これは、日本のフィッシング対策協議会の活動や機能とほぼ同じといってよい。

 Bohan氏によれば、APACが設立される前は、フィッシングサイトが発見されると、その金融機関やセキュリティベンダーが個別にフィッシングサイトの警告を出す程度の対応しかとれなかったそうだ。それも通報や実際の被害が起きてから発見されることが多く、対応に限界があった。現在では、複数の業界を横断した情報共有ができ、サイトのテイクダウンといった具体的な対策もとれるようになったという。

 中国でのフィッシングサイトの事例については、たとえば、北京五輪を狙ったもの、四川省の地震被害の寄付サイトを狙ったものなどが紹介された。

 フィッシングサイトのテイクダウンは、APACがCNNICという国(CNドメイン)を管轄する組織が母体であるため、ドメイン単位でもサイトの停止が行える。これは中国(および香港)独特の対処方法とのことだ。通常、フィッシングサイトのテイクダウンは、当該ドメインのそのページそのものを削除するか外から見えないようにする処置を行うだけである。なぜなら、ドメイン単位で停止させてしまうと、関係のないページやサイト(下位ゾーン)への影響が大きいうえ、一般的な国の場合、そのような強制措置は簡単にできないようになっている。

 ドメイン停止が功を奏したのか、APACが活動を始めてからは、CNドメインのフィッシングサイトは激減したそうだが、CNNICが管理していないドメインを使ったフィッシングサイトはむしろ増えてしまったそうだ。2008年、2009年のドメイン名別フィッシングサイト件数の統計では、.CNドメインは全体の38%を占めトップであったのに対し、2010年の現在までの時点では.COMが49%でトップ。.CNは4%まで減少している。

 また、中国国内の企業ブランド別フィッシングサイトの報告・確認例の統計によれば、1位はTaobao(中国最大のECサイト)が年間13,000件以上。2位はTencent(中国最大のチャットサービス)、3位がICBC(中国工商銀行)、4位がCCTV(中国中央テレビ)となっている。Taobaoの件数は全体の52%以上を占め、ECサイトが最大のフィッシングの標的になっているという。ICBCは国民の生活口座のほとんどを管理する銀行であり、CCTVは「6+1」という視聴者がオンラインで参加できる番組のサイトがターゲットにされているという。

 日本のフィッシング詐欺の動向については、フィッシング対策協議会の小宮山功一朗氏が報告した。小宮山氏によれば、日本のフィッシング詐欺は2009年5月にターニングポイントがあったという。それ以前はフィッシングサイトの報告数は米国などと比較して、非常に低く推移していた(現在も欧米に比較すると日本の被害は少ない)が、2009年5月にYahoo!Japanのフィッシングサイトが報告されてから、報告件数も増えYahoo!Japan以外の日本ブランドのフィッシングサイトに波及している。その事例としては、クレジットカード会社、携帯向けSNSサイト[s1]によるカード情報やIDパスワードの窃取詐欺、中古車ディーラーサイトのフィッシングサイトで売り手のアカウントを取得し、偽の出品情報で取り込み詐欺を行う手法などが紹介された。

 そして、フィッシングと断定できないような事例として、各種の模倣サイトの例を紹介した。これは、メジャーなSNSのサイトの綴りを1文字だけ変えたサイトや、オリジナルブランドに似せた名前やデザインのサイトのことだ。模倣サイトの中には、ジョークサイトだったり、パロディだったりと必ずしもアカウント窃取・詐欺などの違法行為目的であるとは限らない。また、現行法では、たとえマルウェアに感染するサイトであっても、フィッシングサイトや模倣サイトを直接取り締まる法律がない。模倣サイトに関する報告や相談は対応がむずかしいという。

 小宮山氏は、フィッシングサイトを立てられるのは一種の有名税とでもいえる側面を持っているとし、企業の管理しているサイトがセキュアであっても(ドメインが異なる)フィッシングサイトは自由に作られてしまう。そのため、フィッシングは、Webサイトが改ざんされたり、サーバーに不正侵入されたりする被害とは異なり、サイトを偽造された企業や組織のサーバーに直接の瑕疵はないことになる。したがって、フィッシングサイトの報告がされたからといって、その企業のセキュリティ対策ができていないと判断することはできない。フィッシングサイトが発見、報告されたら、重要なのはサイトを偽造された企業を責めるのではなく、正しい情報により、いかに被害を抑えるか、そのフィッシングサイトをテイクダウンするかであることを理解してほしいと述べた。
《中尾真二》

関連ニュース

特集

page top