質、量ともに発展するフィッシングキット--その手口も巧妙化

　フィッシングツールキット市場が活発化している。フィッシングツールキットを使えば、技術に詳しくない人でもすばやく簡単に、銀行の偽装ウェブサイトを作り上げることができる。これらのキットは安いものでは30ドルから出回っている。

　フィッシングキットは珍しいものではないが、Websenseのセキュリティ研究担当バイスプレジデントであり、Anti-Phishing Working Groupの関係者でもあるDan Hubbard氏によれば、過去一年でキットの量が著しく増加し、その質も向上しているという。

　Hubbard氏によれば、フィッシングキットは「何年も前から出回っていたが、量が増加したことが大きな変化だ。また、出回っているキットの設計も巧妙になっている」という。

　Hubberd氏は特に、こうしたキットが一般的な（フィッシングサイト）防止技術に対し回避策があることをうたっていることを強調した。回避可能な防止技術には、既知の有害なソフトウェアの署名、つまり「フィンガープリント」を元に検知を行う防止プログラムや、脅威を判別するのにパターン認識を用いるヒューリスティクス技術も含まれている。

　「キットメーカーは、署名に基づく検知技術に対するテストを行い、それを広告ポートフォリオとして公開している。『アンチウイルスにも、ヒューリスティクス技術にも、署名に基づく検知にも発見できない』といった具合だ」

　Hubbard氏は、ソフトウェア開発者がオンライン世界で新しいビジネスを始めようとしている「昔ながらの」犯罪者と手を結んでキットを開発していると語った。

　「昔からの犯罪者の多くは、（盗まれた）身分証明情報を金銭に変えることに長けている。一方で、セキュリティプログラマーたちは、おそらくそれらの情報を金銭に変えることは得意ではないだろう。この二者が一緒になると、恐ろしい組み合わせになる」とHubbard氏は言う。

　10月に発表されたWebsense Security Trends Reportによれば、フィッシングツールキットは、その性能や使いやすさ、アンチフィッシング技術に対抗する能力に応じて、30ドルから3000ドルで売られているという（PDFファイル）。

　値段が高いキットには、被害者をだますため、新規に見つかったブラウザの脆弱性、あるいはまだ一般に知られていない脆弱性に対するエクスプロイトコードが付属するものもある。

　「新しい脆弱性が発見されると、彼らはすぐにそれを利用する。一部のケースでは、彼らは実際にゼロデイ脆弱性や脆弱性攻撃コードを買い取ったり、自分たち自身で開発することもある」とHubber氏は述べた。