フィッシング対策フィルタで個人情報を守る

カーネギーメロン大学（CMU）の科学者が政府助成金で行った研究によると、フィッシング詐欺メールは、他のスパムとは明らかに異なるため、ほぼ完全に検出し、除去することができるという。

CMU 研究者の分析によると、フィッシング攻撃のうち92.65％を防ぐことができるとのこと。誤って不正メールと判定された正規のメールは、たったの0.12％だった。この“偽陽性”の割合は非常に少ない。そのため、重要な受信メールを失うわけにはいかない企業が、従来のスパムフィルタに加えフィッシングフィルタを採用しても問題ないほどだ。

この研究結果は、メールによる ID 窃盗の被害を減らす大きな可能性を示している。しかし、CMU もスポンサーとなった政府系機関も、この研究に関するプレスリリースを発表していない。この記事が初めて伝えることになる。

フィッシング詐欺が横行

私の読者であれば、何度も聞いたことがあると思うが、フィッシングとは、実在の銀行や ISP を装って送られる偽メールのことだ。こうしたメールが、ユーザー名、パスワード、クレジットカード番号やその他の重要な情報を集めるために偽造された Web サイトにユーザーを誘い込む。

しかしながら、今でも多くのコンピュータユーザーが、このような詐欺に引っかかっている。フィッシング詐欺の正確な被害額の算定は難しいが、詐欺の件数は大幅に増えている。

金融機関とその他の企業が合同参加しているアンチフィッシングワーキンググループ（APWG）が発行した最新フィッシングトレンドレポートによると、2006年5月に当グループが見つけた新しいフィッシング Web サイトは、1万1,976だったとのこと。2005年同月の3,326から増加。ほとんどの詐欺にロシアのハッカーがからんでいるといった誤解があるが、フィッシング Web サイトのうち34％は米国に置かれており、次いで中国が15％、その他の国が数パーセントとなっている。

企業のスパムフィルタでフィッシングメールの一部をブロックすることはできるが、すべてはできない。CMU の報告は、フィルタをすり抜ける恐れのあるフィッシングメールを見分けるための効果的な方法を示している。

CMU の研究は、同校の Ph.D 候補者 Ian Fette 氏、助教授 Norman Sadeh 氏、および教員 Anthony Tomasic 氏によって行われ、米国陸軍研究所、および CMU リサーチセンター CyLab のスポンサーである米国国立科学財団の Cyber Trust Initiative が資金提供している。

フィッシングメールを見分ける警告サイン

大抵の場合、フィッシングメールにあるリンク先の Web サイト名は、ブランドものである必要はない。例えば、裏ルートで処方薬を購入したい人は、Pills-Without-Prescriptions.com などのあいまいな名前のサイトに誘導されても気にしないだろう。

フィッシングの本質は、リンク先の Web サイトが、有名な会社の正規のホームページであるように見せかけることにある。フィッシングメールを見破ることができるのは、この偽装のおかげに他ならない、と CMU の研究者は言う。彼らの研究では、以下のような特徴をもつメールを検出するための、高度な統計にもとづいた分析を行っている。

・“出来て間もない”ドメインへのリンク

フィッシングメールのうち12％以上に、60日以内に登録されたドメイン名へのリンクが含まれる。 APWG によると、偽の Web サイトは見つかったらすぐに消滅するか、インターネットから追放されるため、フィッシングサイトがオンラインに登場しているのは、平均わずか5日間のみとのことだ。

・リンクはドット付き数字形式

フィッシングに使われる Web サイトの多くは、スパイウェアに感染し、“ゾンビ”化された家庭用 PC がホストである。このようなサイトにはドメイン名がないため、フィッシングメールは、 192.0.34.166 など IP アドレスそのものを使ってリンクさせるしかない。フィッシングメールのうち約45％が、このような“ドット付き数字”のアドレスにリンクさせている。

・ドメイン名をクリックしても、正しい場所に移動しない

メール作成者にとって、“Citibank.com”といった文字で表示されたリンクを作るのは簡単なことだ。実際このリンクをエンドユーザーがクリックすると、 Citibank のサイトのように見せかけた他のドメインに移動する。フィッシングメールの約半数が、表示されたドメイン名と実際のリンク先が異なっている。

・“ここをクリック”のリンク先が特殊

正規メールに見せかけるため、フィッシングメール内で、例えば、本物の PayPal.com のプライバシー声明や顧客サービスフォームにリンクが貼られていることもある。しかしながら、クリックするよう詐欺師が仕向けているリンクは、まったく異なる Web サイトにつながるようになっている。フィッシングメールのうち約18％に、このような特殊なリンクが含まれる。

研究者の Fette 氏と Tomasic 氏は電話インタビューで、自分たちの研究がまだ初期の段階だということを認めた。「実は、各要素を判定する決定木となるものがない。まだダウンロードできるプログラムもない」と Fette 氏は言った。

またこの研究でテストしたメッセージのデータセットは、2年以上前のものであるとのことだ。リンク先のドメイン名がメッセージの送信される60日前以内に登録されたものであるかどうかを確かめるために、登録日を探すのがとても大変だったそうだ。生のデータでさらに実験を続ければ、テストしたデータセットで機能したアルゴリズムが、今日のメールでもまだ機能するかどうかを確かめるのに役立つだろう、と研究者は言う。

どうか自分のメールで実験しないでほしい

研究結果を実践するパッケージソフトウェアがまだ発売されていないため、上記の“見分ける要素”だけに頼って受信したメールを削除してみようと思う人もいるかもしれない。このように自分で規則を作ることは勧めない。

この研究で疑わしいと判断された特徴を持っているが、正規のメールだということも多々ある。例えば研究結果によると、上記の4要因のいずれかに当てはまるメールをすべて削除したら、受信した正規メールのうち2％以上を削除してしまうことになるらしい。顧客やベンダーからのこれほどの数のメールを失っても平気な会社はない。

そうする代わりに、プロフェッショナルなフィッシングフィルタソフトウェアが発売されるのを待ってほしい。レポートの著者は、アルゴリズムが10の複雑な要素を使って n 次元の空間を作り出し、フィッシングメールと正規メールの非平面の境界を算定する、と説明してくれた。これは、簡単な規則をいくつか使って再現できるようなものではない。

フィッシングメールをどうしても削除したくて我慢できない人は、まず名の知れたスパムフィルタを使って防御しよう。スパムフィルタはたいていの迷惑メールをブロックすることができる。その後、スパムフィルタをすり抜けてきたフィッシングメールの“見分けサイン”を探すための規則を追加してもいい。洗練されていない自分の規則を使って疑わしいメールを見つけたら、それらの正規メールの可能性があるメールを削除するのではなく、件名欄に“注意”と書き加える。

なぜ6月に完成したレポートを、大学もスポンサー機関も公表しなかったのかを尋ねた。「まだ本当に研究の初期段階なのだ」と Fette 氏は答えた。研究者は、自分の会社の生のデータストリームで再度実験を行ってもいいと申し出てくれる大企業の重役を探している。テストで記録したメールの秘密保持は守られる。

結論

読者の誰かが、研究者の挑戦をかなえてくれないかと望んでいる。CMU の Institute for Software Research International から彼らに連絡を取ることができる。

詳細については、 CMU が研究をまとめた短い要約を出している。16ページにわたる研究レポートは、PDF 形式で入手できる。