［世界］
セキュリティ専門家が明かす正体不明のフィッシング集団「Rock Phish」

（2006年12月18日）

　フィッシング集団として恐れられている「Rock Phish」。しかし、ほんとうの脅威はRock Phishがだれなのか、あるいは何なのか、だれも知らないことなのだ。

　ウィキペディアを探しても、「Rock Phish」はどこにも掲載されていない。その代わりに「Rock Phish Kit」という項目があり、その説明には「フィッシング攻撃の生成、および実行を支援する一般ユーザー向けの人気ツール」とある。しかし、セキュリティ専門家は、この定義はまちがっていると指摘する。彼らによると、「Rock Phish」とは「人間」または「人間の集団」であり、今日実行されているフィッシング詐欺の約半数はRock Phishが関与しているという。

　 Rock Phishの拠点がどこに存在するのか、またそれは1カ所だけなのか、確かな情報は何もない。米国シマンテックのシニア・プリンシパル・リサーチャーであるズリフィカール・ラムザン氏は、「彼らはフィッシング界のカイザー・ソゼだ。その行動はなぞに包まれており、恐ろしい」と、1995年に公開された米国映画『ユージュアル・サスペクツ』に登場するなぞの首謀者になぞらえる。

　Rock Phishの存在が初めて明らかになったのは2004年末のことだ。「Rock Phish」の名前は、彼らが作成したフィッシング・サイトに「rock」という特徴的な名称のサブディレクトリが含まれていたことが由来とされている。その後、フィッシング・フィルタが「rock」という単語を検知するようになると、Rock Phishはこの手法を使わなくなった。

　新しい攻撃手法を次々と生み出すRock Phishに対し、不本意ながら敬意を払うセキュリティ専門家さえいる。本稿を執筆するにあたり取材を申し入れた企業／個人の中には、Rock Phishからの物理的な攻撃を恐れて取材を拒否する人もいた。

　Rock Phishは、フィッシング詐欺集団の2大ターゲットである「イーベイ」と「PayPal」だけでなく、欧州と米国の金融機関を標的にすることでも知られている。最近では9カ国、44の企業に攻撃を仕掛けた。その手口は、電子メールでターゲットをフィッシング・サイトに誘導し、クレジットカード番号やパスワードを入力させるというものだ。

　すでにシティバンク、イートレード、バークレーズ、ドイツ銀行などがRock Phishの被害にあっている。現在までにRock Phishが関与したとされるフィッシングの被害額は、銀行だけでも優に1億ドルを超えるという。

　セキュリティ専門家がRock Phishを警戒する理由は、その“アグレッシブ”さだけではない。Rock Phishのほうが、セキュリティ・ソフトウェアの実行パターンや詐欺に関する法律の施行について、セキュリティ専門家よりも熟知している場合があるからだ。

　例えば、“画像スパム”を最初に世に送り出したのはRock Phishである。これは、電子メールを画像ファイルに収めて送信するテクニックで、これによりスパム・フィルタを回避できる。

　Webブラウザがフィッシング・フィルタを内蔵するようになると、Rock Phishはフィッシング・メッセージ用に特有のURLを使うようになり、既知のフィッシング・アドレスのブラックリストを回避するようになった。このURLは一度しか使用しないように設定されているため、フィッシング対策側による検知・遮断が難しいとラムザン氏は説明する。

　「例えば、フィッシング・アドレスをブラックリスト化している『Firefox』などには、一度しか使われないURLによるフィッシングは有効だ。将来的には、ブラックリストに依存するフィッシング対策は役に立たなくなるだろう」（ラムザン氏）

　フィッシング対策を目的とした非営利団体APWG（アンチフィッシング・ワーキング・グループ）の調査によると、Rock Phishによるフィッシング・サイトはこの2～3カ月の間に急増しているという。今年8月の時点で1万9,000であったのに対し、10月には2倍近い3万5,000のフィッシング・サイトが確認されている。

Anti-Phishing Working GroupのWebサイトでは、最新のフィッシング詐欺の手口や月別の被害件数などの情報が入手できる。http://www.antiphishing.org/

　セキュリティ専門家の推定によれば、Rock Phishは12人程度のメンバーから構成される、きわめて少数精鋭のテクノロジー犯罪者集団であり、フィッシング・サイトの設定とドメイン名の管理に加え、不正に入手した金融／ユーザー情報を、Rock Phishが管理する中央サーバに送信する作業を行っているという。この中央サーバは研究者の間で「Mother Ship」（母船）と呼ばれ、同サーバに集められた情報は、インターネット上のチャット・ルームにおいて、実際に現金を引き出す“業者”に売り渡されているという。

　匿名を条件に取材に応じたセキュリティ専門家は、Rock Phishが最近、警察やフィッシング撲滅グループがまだマークしていないサントメ・プリンシペ（.st）やモルドビア（.md）といった国のドメインを登録したと指摘する。警察などがドメイン名登録業者と交渉して不正ドメインを排除するまでの間、Rock Phishはこれらのドメインを利用してフィッシング・サイトを構築し、情報収集に励むわけだ。

　「彼らはいわば、フィッシング分野の革新家だ。新しいテクニックが登場するたびに、それがRock Phish集団の仕業であることが判明する」と、ラムザン氏は語っている。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)