2月にフィッシング攻撃件数が増加──大型犯罪者集団の攻撃が再活発化
新たな攻撃手法を獲得するためにネットワークを更新した“Rock Phish団”RSAセキュリティが3月27日に発表した月次レポート「Monthly AFCC NEWS Vol. 20」によると、世界のフィッシング攻撃の過半数に関与していると見られる犯罪者集団「Rock Phish団」の攻撃が活発化しており、昨年夏ごろに減少していたフィッシング・サイトが増えつつあるという。同社によれば、彼らは新たなネットワークを構築して、攻撃手法を変えてきているという。
フィッシング攻撃(フィッシング詐欺)は、正規のサイトに見せかけた偽のサイトを用いてユーザーをだまし、オンライン・バンクのユーザーID/パスワードなどを入力させて情報を詐取するという攻撃手法である。RSAセキュリティの調査によれば、2005年には8,000件弱であったフィッシング・サイトは、2008年には13万5,000件にも膨れあがったという。
今回発表されたレポートによると、フィッシング・サイトの発見件数は2008年7月〜9月と2008年12月〜1月に減少していたが、2月からまた増加傾向にあるという。同社は、この原因はサイバー犯罪者集団「Rock Phish」の攻撃回数が増減したためと分析している。
Rock Phish団は、2004年ごろから世界中の金融機関を狙ってフィッシング攻撃を仕掛ける犯罪者集団であり、ロシア語によるやり取りが多いことから本拠地は同国にあると見られている。2007年から2008年半ばにかけて世界中で行われたフィッシング攻撃の50%以上が同集団によるもので、数千万ドルにもおよぶ盗難被害に関わったという。
2008年7月、同集団の攻撃が激減し、RSAセキュリティのAnti-Fraud Command Centerによって検知されたフィッシング攻撃の総数も極端に低下した。同センターは2008年4月、世界のフィッシング攻撃1万5,000件のうちRock Phish団によるものはおよそ60%を占めると報告しているが、2008年8月の攻撃総数は約7,100回で、Rock Phish団によるものはわずか9%であった。
このときRock Phish団が攻撃の手をゆるめたのは、それまでの古く単純なネットワークをFast-Flux型のAsproxボットネットに置き換えたためと、同社は報告している。Fast-Fluxとは、ラウンドロビンDNSの手法を悪用してユーザーがアクセスするたびにサーバのIPアドレスを変えることにより、フィッシング・サイトの遮断を困難にする手法である。
またレポートによると、同集団はさらにネットワークを再構築しており、RSAセキュリティが独自に「MS-Redirect」と呼んでいる技術を追加してきた。これは、一般的なWebブラウザによる調査目的のアクセスを検知してMicrosoftのWebサイトへリダイレクトしてしまうもので、研究や対策を困難にするという。RSAセキュリティによると、2月にフィッシング攻撃が増加したのは、この攻撃ネットワークへの移行が完了したためで、1万件近い攻撃のうちほぼ半分がRock Phish団によるものだと報告している。
さらに同集団は、従来は個人ユーザーを中心として口座情報の詐取を狙ってきたが、対象を法人口座に絞ってきているという。一般的に法人口座はセキュリティ対策を強化するため、二要素認証を採用するなどしているが、Rock Phish団はこれにも対応してきているとのことだ。
RSAセキュリティでは、こうした攻撃がオンライン化(有効化)する前に検知して対応する手法を提案しており、各ドメインのレジストラや各国のサービス・プロバイダーと協力して、ボットネットに参加しているゾンビPCやフィッシング・サイトの接続を遮断する体制を整えているという。同社のフィッシング詐欺対策ソリューション「RSA FraudAction」は、根源となるフィッシング・サイトそのものを検知・排除するサービスであり、金融機関を中心に利用が拡大しつつあるとのことだ。
(Computerworld.jp)
