2014年3月24日月曜日

Webサービスへの攻撃

株式会社Pro-SPIREソリューション事業部の鳶田です。


本日はWebサービスへの攻撃についてご紹介します。

ここ最近、特定の企業を狙い撃ちしたサイバー攻撃「標的型攻撃」が流行してます。
代表例として、三菱東京UFJ銀行の利用者を狙ったフィッシング攻撃が、2013年11月ごろから話題になってます。

Security NEXT - 三菱東京UFJ銀装うフィッシング攻撃が断続的に発生中-「個人情報漏洩事件が起こった」と不安煽る

BIGLOBEセキュリティ - 三菱東京UFJ銀行装うフィッシング攻撃が断続的に発生中-「個人情報漏洩事件が起こった」と不安煽る

11月に発生した攻撃は「ユーザー番号の調査」、
12月に発生した攻撃は「アカウントがロックされないように定期的にチェック」、
そして2014年1月に発生した攻撃は「システムがアップグレードされ、顧客はアカウントが凍結されないように、登録、確認する必要がある」など、
巧妙に呼びかけ内容を変化させ、「本物っぽい」見た目を装い、利用者の個人情報を取得しようとしてます。

例による三菱東京UFJ銀行のフィッシング攻撃の傾向ですが、初めは機械翻訳とみられる不自然な日本語が目立つようでした。しかし攻撃回数が増えるにつれ、徐々に日本語の不自然さが解消されるなど、進化を見せてます。

以上のことから、一般社団法人 JPCERTコーディネーションセンター内の組織「フィッシング対策協議会」ではインターネット利用者に注意を促し、もし類似した攻撃を見かけたら連絡をしてほしいと呼びかけをしています。

Webサービスの安全な運用にあたって、ユーザーの個人情報の保護は非常に重要ですし、
フィッシングを防ぐような、Webサービスそのものの正当性を証明する仕組みも重要です。
身に覚えのないメールを開かないといったような、ユーザー側の高度な判断が必要になる対策だけでは不十分であり、
例えばS/MIMEを利用した電子署名など、単純明快な証明により偽情報と区別しやすくするなどの工夫が必要となります。


以上が本日の小話でした。

0 件のコメント:

コメントを投稿