増加するフィッシング詐欺 今 何が出来るのか 第 9 回迷惑メール対策カンファレンス フィッシング対策協議会 (JPCERT/CC) 平成 23 年 5 月 27 日
JPCERT/CCとは フィッシング対策協議会とは 日本のフィッシングの現状 世界のフィッシングの現状 フィッシング対策協議会の取り組み 2
3 JPCERT/CC って??
CSIRT とは?? Computer Security Incident Response Team 米国 CERT/CC: 1988 年に設立された世界初の CSIRT インシデントハンドリングを主な活動とする組織体の一般名称 外部ユーザなど POC (Point of Contact: 連絡先 ) Cordination: 調整 Incident Response 4 インシデント対応
JPCERT について JPCERT/CC Japan Computer Emergency Response Team Coordination Center ジェーピーサート コーディネンションセンター 主な活動は 経済産業省からの委託を受けて実施 脆弱性情報ハンドリング 情報収集 分析 発信 インシデントに関する調整 技術支援 国内外組織との連携 CSIRT(Computer Security Incident Response Team) のひとつ 5
JPCERT/CC 活動の概要 インシデント予防 脆弱性情報ハンドリング インシデントの予測と捕捉 情報収集 分析 発信 発生したインシデントへの対応 インシデントハンドリング 未公開の脆弱性関連情報を製品開発者へ提供し対応依頼国際的に情報公開日を調整 セキュリティ上の脅威情報の収集 分析企業のセキュリティ担当者等への注意喚起 ネットワークトラフィック情報の収集分析ク情報の収集分析 インシデント対応の時間短縮による被害最小化再発防止に向けた関係組織の情報交換および情報共有 30 25 15 10 5 0 全センサーのポートスキャン合計ポートスキャンの平均値 = センサー合計 ( 単位 : 時間 ) 12/9 12/10 12/11 12/12 12/13 12/14 Data ポートスキャンの上位 5 位を表示 (ICM Pは常に表示 IS P Cothe S IRr はその他合計 T ) ICM P TCP 135 20 TCP 445 早期警戒情報 UDP 137 TCP 139 TCP 1025 インシデント情報 サービスインシデント情報の交換 other FIRST APCERT などの海外 C S IR T 重要インフラ事業者等の特定組織向け情報発信 セキュアコーディング コーディングレベルで脆弱性を作り込まない アーティファクト分析 マルウエア ( 不正プログラム ) 等の攻撃手法の分析 解析 JPC E R T/C C 情報交換 学識経験者 関連団体などのご協力者 企業 C S IR T インシデント情報 情報交換 官公庁 政府関係機関などの国内協力組織 6
7 フィッシング対策協議会とは
フィッシング対策協議会の組織概要 設立 2005 年 4 月 名称 フィッシング対策協議会 / Council of Anti-Phishing Japan 会員 金融機関 信販会社 オンラインサービス セキュリティベンダーなど 55 組織が加盟 ( 平成 23 年 5 月 20 日現在 ) 新規会員 11 社 ( 平成 22 年 2 月以降 ) 会長 : 山口英 事務局 : JPCERT/CC (2009/4 経済産業省より委託 ) 目的 フィッシングの攻撃対象となり得る事業者又はその団体や 防御手段を提供し得る事業者などにより構成される フィッシング対策協議会 を運営し フィッシングに関する情報収集 提供 動向分析 技術面の検討などを行う 8
フィッシング対策協議会の活動イメージ フィッシングサイト 情報共有事例の開示許可 誘導メール 確認 分析 被害事業者 フィッシング対策協議会 報告 掲載 情報共有テイクダウン依頼 情報共有 関係省庁協議会 ML Press Notice 事例公開プレス メディア啓発活動 9
10 日本のフィッシングの現状
フィッシング報告件数の推移 ~ フィッシング対策協議会 ~ フィッシングの報告件数 80 70 60 50 件数 40 30 20 10 0 2009/4 2009/5 2009/6 2009/7 2009/8 2009/9 2009/10 2009/11 2009/12 2010/1 2010/2 2010/3 2010/4 2010/5 2010/6 2010/7 2010/8 2010/9 2010/10 2010/11 2010/12 2011/1 2011/2 2011/3 2011/4 協議会の認知度向上に伴い 報告数が増加傾向 11
フィッシング報告件数の推移 ~ JPCERT/CC ~ 300 250 200 フィィッシング件数 150 100 phishing Yahoo! Japan 日本ブランド (Y!J 以外 ) 50 0 1112 1 2 3 4 5 6 7 8 9 101112 1 2 3 4 5 6 7 8 9 101112 1 2 3 4 5 6 7 8 9 101112 1 2 3 4 2007 2008 2009 2010 2011 月 年 12 Yahoo! Japan のフィッシングサイトが大多数を占める
フィッシングサイトのトップレベルドメイン (TLD) 国内におけるフィッシングサイト TLD フィッシングサイト TLD 別 (2010/10 ~2011/04) 海外におけるフィッシングサイト TLD APWG Phishing Report 参照 JPCERT/CC 集計 世界的に見ても.com ドメインが多い 13
フィッシングサイトの稼働状況 JPCERT/CC からの通知後のフィッシングサイトの稼働状況 100% 90% 80% 70% 60% 50% 40% 稼働状況 30% 20% 10% 0% 受領日 1 日後 2 日後 3 日後 4 日後 5 日後 6 日後 7 日後 8 日後 9 日後 10 日後 11 日後 12 日後 13 日後 14 日後 15 日後 14 通知から 3 日で約 90% のサイトが停止する
フィッシングメール 15
フィッシング事例 ~ クレジットカード ~ 16 日本を狙ったフィッシングサイトも
フィッシング事例 ~ オンラインゲーム ~ 17 RMT を狙ったフィッシングサイト
フィッシング事例 ~ 携帯サイト ~ 18 携帯ユーザを狙ったフィッシングサイト
フィッシング事例 ~ 中古車ディーラー ~ 19 ディーラーを狙ったフィッシングサイト
フィッシング事例 ~ オンラインサービス ~ 20 Yahoo! JAPAN のフィッシングサイト
フィッシング事例 ~ 義援金を騙るサイト ~ 21 赤十字社を騙るフィッシングサイト
フィッシング事例?? ~ 模倣サイト ~ 22
23 世界のフィッシングの現状
フィッシング件数の推移 ~ APWG Report~ 60000 報告件数フィッシングサイト数 ( 重複無し ) 50000 40000 件数 30000 20000 10000 0 世界と比較すると 日本におけるフィッシングはまだまだ少ないといえる 24
フィッシングサイト稼働状況 ~ APWG Report~ 25 APWG Phishing Report 参照フィッシングサイトの稼働時間がながくなっている
中国におけるフィッシング ~ APAC Report~ 中国で唯一の公的なフィッシング問題に対応する組織 レジストリ (CNNIC) と連動してサイトの停止を行う 四川地震 青海省地震の際 寄付サイトを騙るフィッシングサイトも見つかった北京五輪を狙ったフィッシングサイト 26 引用 :APAC 講演資料 http://www.antiphishing.jp/news/pdf/20101117apac.pdf
CN ドメインのフィッシングの傾向 ~ APAC Report~.ORG 1%.TK 3%.NET 3% 3500 3000 2500 2000 1500 1000 500 0.us 1%.INFO 5%.CC 9% 2008-2009 2010- other 1% 380 0 1808.in 6% 1505 1870 1629 1615 200 145.CN 38% 251 CN Others 800 1005 545 455 119.us 2% 1689 80 96.INFO 8%.CC 15% other 2% 970.in 10% 549 76 44.COM 33%.NET.TK 3% 5%.ORG 2%.CN 4% 821 43 2925 90 23 2789.COM 49% CNドメインのフィッシングサイトは減り 別のドメインを使用したフィッシングサイトが目立つ 27 引用 :APAC 講演資料 http://www.antiphishing.jp/news/pdf/20101117apac.pdf
ヨーロッパのフィッシングの傾向 フランス語のフィッシングメール イタリア語のフィッシングサイト 各国の言語にローカライズされたフィッシングサイトやフィッシングメールは増えている 28
29 フィッシング対策協議会の取り組み
フィッシングサイト URL の提供 目的 ウェブブラウザ ( ツールバー含む ) やウイルス対策ソフトなどのフィッシング対策機能にフィッシングサイトの URL を実装することで フィッシングサイトが停止するまでの期間のユーザリスクを低減すること 提供開始日 2010 年 1 月 提供先 (11 社 ) 30
フィッシングフィル 31 2010 年 3 月に公開しました
技術 制度ワーキンググループ (1) ガイドライン 2010 年 4 月更新 優先順位付け 実施すべきと考えられるもの 実施を推奨するもの 場合によっては実施すべきもの 内容 サービス事業者におけるフィッシング詐欺対策 フィッシング詐欺被害を抑制するための対策 フィッシング詐欺被害の発生を迅速に検知するための対策 フィッシング詐欺被害が発生してしまった際の対策 消費者におけるフィッシング詐欺対策 新規追加項目 フィッシング詐欺への備え フィッシング詐欺に遭ってしまった時 ログイン履歴の表示を強く推奨 ブラウザのパスワード保存機能の禁止を推奨 32
技術 制度ワーキンググループ (2) ステータスレポート 2011 年 5 月公開 内容 フィッシングの動向や脅威 フィッシング対策の課題などをまとめたレポート フィッシングの被害状況の把握 フィッシングの攻撃サイドの技術 手法 新たな脅威の動向 総合的対策の確立に向けた課題 33
国内組織との連携 日本インターネットドメイン名協議会 JPCERT/CC として参加 警察庁 総合セキュリティ対策会議に参加など 国民生活センター 問い合わせ窓口紹介やインタビューなど Japan DKIM Working Group (dkim.jp) 協力団体として参加 34
国際組織との連携 Anti-Phishing Working Group (APWG) 国際会議に参加 Counter-eCrime Operations Summit( サンパウロ ) 2010 年 5 月開催 General Members Meeting & ecrime Researchers Summit( ダラス ) 2010 年 10 月開催 Counter ecrime Operations Summit V( クアラルンプール ) 2011 年 4 月開催 35
ありがとうございました お問い合わせ / サイト停止のご依頼は フィッシング対策協議会 Email:info@antiphishing.jp Web: https://www.antiphishing.jp/ Twitter: http://twitter.com/antiphishing_jp JPCERT コーディネーションセンター Email:antiphishing-sec@jpcert.or.jp t j Tel:03-3518-4600 Web: https://www.jpcert.or.jp/ 36