LINEを騙るPhishing詐欺対策と戦いの歴史

1. はじめに

こんにちは、LINEのセキュリティエンジニアの中村智史です。Trust & Safetyチームに所属して、Phishing詐欺の情報収集/探索/分析/停止、サイバー防災というユーザー向け啓発活動、などLINEのユーザーを詐欺や不正行為から守るために様々な業務を担当しています。LINEのユーザーを標的としたPhishing詐欺は、私が着任した2017年3月の時点で毎日偽サイトが稼働している状況でしたが、本記事で紹介する様々な取り組みを続けていき、2020年10月には偽サイトの稼働件数を鈍化させるに至りました。

図1-1. LINEユーザーを狙ったPhishing詐欺の偽サイトを発見した件数の遷移(月別)

図1-2. LINEユーザーを狙ったPhishing詐欺の偽サイトを発見した件数の遷移(年別)(2021/08/17時点の値です。)

本記事では、2017年3月〜2020年10月にかけて発生していたLINEを騙るPhishing詐欺対策をふりかえり、何もないところからPhishing詐欺に対抗した事例を紹介します。

2. LINEを騙るPhishing詐欺と、対策が難しい理由

まず、LINEを騙るPhishing詐欺がどういったものだったかを説明します。攻撃者はメールやSMSなど様々なテキストメッセージを送信する手段を用いて誘導メッセージを送信します。誘導メッセージには正常な判断を混乱させるような文章やLINEが公式に用いてそうな文章を引用し、ユーザーを偽サイトへ誘導します。誘導された先にはLINEが公式に提供するサービスのデザインを模した偽サイトが用意されており、攻撃者がアカウントを奪うために必要な情報(ID、パスワード、電話番号など)の入力を促します。ID、パスワード、電話番号を入力した後も、さらに画面が遷移し、入力した電話番号へ届く認証番号(PIN Code)の入力も促します。全ての情報を入力してしまうと、LINEのアカウントを奪われて、被害者になりすまして攻撃者が活動します。確認された活動としては、金銭目的のものがほとんどです。もっと詳しい情報をアニメなどでわかりやすくした解説コンテンツをご用意していますので、下記も合わせてご覧ください。

次に下記の概念図をご覧ください。LINEとユーザーとPhishing詐欺の立ち位置を示しています。背景を緑色にした部分「LINE Network」はLINEの管理下にある領域です。ここで何か起これば検知したり調査することが可能です。背景を灰色にした部分「Internet」はLINEの管理が及ばない領域です。図で示したようにPhishing詐欺は管理の及ばない領域で活動しているので、基本的にLINEは検知できません。また発見したとしても、このPhishing詐欺に対して直接的な行動を取る権限もありません。この2点がPhishing詐欺対策が難しい理由だと考えています。

図2-2. Phishing詐欺に関わるアクターの関係図

3. 着任前にやったこと

この業務のはじまりは、2017年03月に当時の上長から受けた「偽サイトを停止できませんか」という相談でした。1つ前の章でも説明したとおり、攻撃者優位なのでそもそも偽サイトを発見すること自体が難しいのです。停止よりも認証機能を強化するなど代替案を提案して、上長の停止案を回避しようとしていました。最終的には「代替案で示された内容は別の人に相談します。偽サイトを放置できないので、どんな方法でも良いので停止して」とのことでした。根負けして引き受ける準備を開始します。幸いにも「どんな方法でも」というコメントをもらえたので、次の提案を承認してもらって業務を引き受けました。

  • 「経済的に不合理な活動であっても、ユーザーが被る不利益が十分に大きければ、これを放置しない」
  • 「根絶は難しい」→「ベストエフォートで良い」
  • 「長期的な業務遂行を前提として短期的なKPIにこだわらない」

これらは今回のように古くから未解決で存在する課題にゼロから立ち上げて対抗するには必要な価値観の再設定でした。理解のある当時の上長に今でも感謝してます。

4. どのようにサンプル収集を行うか

いざ業務を開始したものの、当時はPhishing詐欺対策を業務とした場合に必要な知識や経験はありませんでした。とりあえずPhishing詐欺の特徴を掴むために、サンプルを収集するところからはじめました。ところがこのサンプルの収集は案外難しいものでした。狙ったPhishing詐欺の誘導メッセージを集めるなら、攻撃者の送信先リストに追加できれば良いでしょう。しかし攻撃者が送信先リストをどのように作成しているかは不明です。時間をかけてサンプル収集用の連絡先を育てる手法もありますが、これは一朝一夕に達成されるものではありません。辿り着いた方法は次の2つでした。

  • 4-1. 自組織のカスタマーサポート部門に届く情報を共有してもらう。
  • 4-2. インターネットで拾い集める。

「4-1」は私が着任する以前から活用されていましたが、サンプルの蓄積はそんなに多くありませんでした。「4-2」はインターネット上でボランティア的にフィッシングサイトの情報を公開、発信してくださっている企業や個人の方(以後、「善意の第三者」と呼びます)の情報を拾い集めます。着任時に引き継がれた情報を頼りに善意の第三者へ辿り着くことはできました。そこには未知のLINEを騙るPhishing詐欺の情報も掲載されており、着任前や着任後に気付かなかったサンプルを得られました。

5. 早期発見と早期通報を実現する取り組み

蓄積したサンプルを用いて手口や偽サイトの分析を開始しました。すでに停止したサンプルでは得られない情報もあったので、動作中に情報を保全する工夫なども大切でした。分析によって得られた情報から運用の傾向や仕様を整理することができました。運用の傾向や仕様を知ってどんな利益があるかというと、LINEの管理が及ばないインターネットで能動的に偽サイトを探索する手がかりとなることです。この取り組みの一例は、私が著者として参加した下記の文書で読むことができます。ご興味があれば御覧ください。

従来のPhishing詐欺の偽サイトが処理される工程は次のとおりです。

  • 偽サイトが起動する
  • 誘導メッセージが配信される
  • ユーザーに届く
  • ユーザーからLINEへ情報提供され、LINEが認識する
  • LINEが通報する

「ユーザーからLINEへ情報提供」の部分は確率としてそんなに高くなく、多くは「ユーザーに届く」で工程が止まります。では手がかりを用いた探索はどのような工程に変化したかを示します。

  • 偽サイトが起動する
  • LINEが発見する
  • LINEが通報する

工程が短縮され、工程が途中で止まることもありません。このように能動的な探索は早期発見と早期通報を実現し、偽サイトの寿命を短くする効果を期待できる重要な取り組みでした。

6. 取りこぼしを減らすための対策

「早期発見、早期通報」を実現できましたが、次は取りこぼしが課題となりました。偽サイトの特徴や傾向から発見する手法は、偽サイトの設計や運用に変化があると、取りこぼす懸念があります。これを補完する方法を用意しておかないと、見失ってしまって対応が遅れてしまいます。いくつか検討してみましたが、最も効果が高かったのはカスタマーサポート部門との連携強化でした。着手したのは大きくわけて2つです。

  • 6-1. カスタマーサポート部門の運用に、お問い合わせいただいたユーザーへ情報提供を呼びかけてもらう。
  • 6-2. Phishing詐欺に関する知識や通報方法を掲載したユーザー向けのコンテンツを用意する。

「1」は着任直後に頼った時の経験から強化の必要性を感じていたので着手しました。カスタマーサポート部門の方々はユーザーの視点をよくご存知なので、「2」でも協力してもらいました。用意したコンテンツは公開しているので、興味があれば御覧ください。

「6-1」「6-2」のあわせ技は想定よりも強力で、着任直後に頼っていた善意の第三者にも負けない情報源となりました。

7. 通報後の課題と新たな取り組み

Phishing詐欺の偽サイトを探す体制は整ってきたところで、次は通報後の停止が課題となりました。LINEの手によって確実にLINEを騙るPhishingと認定できたのだから、すぐに停止できるだろうと思われるかも知れません。しかし実際にはそうではありません。まずLINEはPhishing詐欺の偽サイトであっても、直接停止する権限はありません。偽サイトを構成する要素毎に善意の第三者へabuse通報し、適切に処理されるのを待つのみです。具体的には、サーバの情報についてはホスティング事業者へ、ドメイン情報についてはレジストラへ、URLは(ブラウザで警告表示してもらうために)ブラウザベンダーへ通報します。概要図で示すとこのような連携です。

図7-1. Phishing詐欺を通報してから停止するまでの関係図

それぞれの役割で処理されるのを待ちますが、これに要する時間は様々で、時間が異なる理由もまた様々です。理由を1つずつ調べて改善を試みたこともありますが、LINEが単独でやっていても非効率という結論に至りました。代替案として、Phishing詐欺対策に関わる様々な立場の方々と交流してお悩み相談することにしました。

  • LINEと同じように狙われるサービスを抱えている方々
  • 狙われるサービス事業者ではないけどPhishing詐欺の情報を収集している方々
  • 通報を受ける組織の方々

交流ではLINEを騙るPhishing詐欺の情報を整理した状態で積極的に情報提供しました。Phishing詐欺はその性質から知ろうと思えば誰でも知ることのできる情報なので、情報提供の障壁はそんなに高くありません。これは他の多くのサイバーセキュリティの問題と比較して有利な点の1つです。肝心の積極的な情報提供の効果ですが、LINEが気付いていない情報の入手、業務改善のヒント、交流の場を活性化、などいくつも良い効果を得られました。ただ、LINE単独では解決が難しい課題が存在することも思い知らされました。本記事では課題の全てには触れませんが、優先度を高く設定して取り組んでいる課題に「通報する側」と「通報を受け取る側」の相互理解を促進というものがあり、我々は「通報する側」の立場なので「通報を受け取る側」の方々を理解するように努めています。直近だとJANOG48 Meetingへフィッシング対策協議会を通じて参加させていただきました。

8. 仮説:攻撃者側の損益分岐点を下回らせることに成功した、か?

通報後の課題が残ってしまいましたが、本記事の冒頭でも述べたように2020年10月から数カ月間は偽サイトの件数を鈍化させました。標的となるサービスが閉鎖されていないのに、Phishing詐欺が鈍化することは珍しいと、Phishing詐欺対策に関わる一部の方からはお褒めの言葉をいただきました。ただし、ここまで列挙してきた我々の行動がどのように貢献したのか証明する術はありません。攻撃者に直接聞ければ良いですが、聞けるくらいなら捕まえるので、実現は難しいです。そこで改めて積み上げてきた努力と鈍化という結果をどう整理すれば良いか考えてみました。

  • LINEを騙るPhishing詐欺の最終目的は金銭的な利益であることは確認できた。つまるところは経済活動。
  • 経済活動をしている攻撃者のモチベーションは、攻撃の費用に対して成功後に得られる利益が十分に大きいかに左右される。
  • ならば「攻撃側の費用対効果を小さくする」「防御側の費用対効果を大きくする」という2つの方針に沿って策を積み上げれば良い。

着任直後のサンプル収集段階では何も方針はありませんでしたが、分析以降の行動はこの整理から大きく外れていません。攻撃側の損益分岐点を下回ったのではないか?と考えています。ちなみにこの整理は、私も著者として参加した下記にも記載がありますので、ご興味があれば御覧ください。

9. おわりに

その後のLINEとPhishing詐欺の戦いについて触れておきます。鈍化してから5ヶ月ほど動作する偽サイトを発見することはありませんでしたが、残念ながら2021年03月に再び発見しました。同年07月には1ヶ月間の発見数では過去2番目を記録するほど勢いを増しています。社外に目を向けると、日本市場ではPhishing詐欺の偽サイトの設置数や標的となったブランドの数が共に増加傾向にあるそうです(フィッシング対策協議会の「フィッシングレポート 2021」という資料で具体的な数字を見ることができます)。

「よし、じゃあ私もPhishing詐欺対策に参加して社会貢献しよう」と考えてくださった方もいらっしゃるのではないでしょうか?私のように業務を担当していなくとも、探索や通報はどなたでも参加可能です。ただし誤った行動を未然に防ぐためにも、関連知識を身に付けてから参加することを推奨します。ここで私が執筆した学習資料などあれば良いのですが、本記事の執筆時点でご用意がありません。代わりに私がフィッシング対策協議会などでお世話になっているNoriaki Hayashiさんが公開している資料を紹介します。探索や通報の具体的な内容は共通点が多く、どのような立場の方でもこれからはじめるなら参考になると思います。

今回は「何もないところからPhishing詐欺に対抗した事例」ということで立ち上げ過程を中心にお話しましたので、Engineeringの度合いは控えめになりました。先程も述べたようにPhishing詐欺は増加傾向にあるので、よりEngineeringらしい取り組みも進行中です。また成果を携えて新たな取り組みをご紹介できるように努力を続けていきます。