全世界のフィッシング攻撃の半分に関与している正体不明のオンライン犯罪組織「Rock Phish」

ニセのページに誘導してオンラインバンキングのパスワードなどを盗み出す「フィッシング」。全世界で行われているこのフィッシング攻撃の実に半分に関与していると言われ、銀行だけで1億ドル（約106億円）もの被害額を出している謎のオンライン犯罪組織、それが「Rock Phish」です。

彼らはごく少数の人間で構成された少数精鋭のテクノロジー犯罪者集団で、メンバーは12人程度と推測されており、フィッシング攻撃で入手した情報は「Mother Ship」(母船)と呼ばれる中央サーバに集め、IRCなどを使って業者へ売買していると考えられています。

この謎の犯罪組織の姿に迫ってみましょう。詳細は以下から。
Rock Phish - Wikipedia, the free encyclopedia

彼らはもともとはルーマニアを起源としているとされており、先月はフィッシング攻撃に使用しているボットネットのインフラ整備を行った模様。その間だけ活動が低下したため、なんとネット全体のフィッシング攻撃件数が半減していることが確認されています。

フィッシング詐欺が半減、原因は犯罪組織「Rock Phish」のインフラ整備：ITpro

セキュリティ企業のRSAセキュリティは2008年9月26日、同社の観測データを基に、2008年8月のフィッシング詐欺の動向などを発表した。それによると、同社がワールドワイドで確認したフィッシング攻撃（フィッシング詐欺目的の偽サイト）は7099件で、ここ最近では「記録的な少なさ」。原因は、オンライン犯罪組織「Rock Phish」が、攻撃用のインフラ（ボットネット）をアップグレードしている最中であるためだと推測している。

手法としてはいろいろな方法を組み合わせ、工夫を凝らすことで既存の防御方法をかいくぐるというものが多いものの、その手法はかなり特徴的です。以下のページでは既に判明している手口について解説しています。

Rock Phishに対する心構え：ITpro

現時点での拠点は欧州にあると考えられており、その攻撃力はネット上だけではないらしい。

セキュリティ専門家が明かす正体不明のフィッシング集団「Rock Phish」 : セキュリティ - Computerworld.jp

新しい攻撃手法を次々と生み出すRock Phishに対し、不本意ながら敬意を払うセキュリティ専門家さえいる。本稿を執筆するにあたり取材を申し入れた企業／個人の中には、Rock Phishからの物理的な攻撃を恐れて取材を拒否する人もいた。

要するにその実態は相変わらず不透明で、その影響力はすさまじいモノがあるようです。セキュリティ専門家でさえ想像だにしていなかったような手法を新しく開発することもあり、有名どころでは「Rock Phish Kit」というフィッシング攻撃を行うための専用ツールキットも開発していたようです。以下のムービーでその様子が確認できます。

YouTube - Phishing Demo - Rock Phish Kit

なお、「RSA オンライン不正状況レポート 2008年3月」（PDFファイル）では彼ら「Rock Phish」の手法の一部が解説されており、スパム対策フィルターを回避する「ハッシュ・バスター」という手法について解説されています。

ハッシュ・バスターは、固有のメッセージを作成するためにそれぞれのE メールにランダムなテキストを追加するテクニックで、その結果、各メッセージについて固有のハッシュが送信されます。このランダムなテキストはフィッシングE メールに隠れたコンテンツとして追加されるため、スパム対策フィルターがそのE メールをスパムだと判定するのが難しくなっています。

ほとんどのスパム対策ツールは、スパムE メールを検出するとそのメッセージ・ハッシュを計算し、同様のE メールをスパム対策フィルターによって分析して、ブロックします。この動作は、両方のE メールが同じハッシュ値をもつために可能になっているのですが、Rock Phish のスパムE メールでは、各E メールが隠されたランダム・テキストによって固有なものとなるために、ほとんどのスパム対策フィルターを通過します。たとえば、次に示すテキストはそうしたE メールから抜き出したものです。

なかなか姑息な手段ですが、こういった基本的な攻撃を効果的に組み合わせることで、セキュリティに関心の薄い層を狙い撃ちにしているようです。

そのうち日本でもこういったオンライン犯罪組織の強力なものが出現するのでしょうか……。