Q.
最近、新聞やニュースで『フィッシング詐欺にご用心!』なんてでてますが、フィッシング詐欺って、どんな詐欺なんですか?
A.
北米では、今まさに大きな社会問題となっている『フィッシング詐欺』。このフィッシング詐欺による過去一年間の被害総額は約25億ドル(約2750億円)にも上ると言われ、米国内での消費者の被害額も過去一年で約5億ドル(約550億円)だと言われています。最近では、ついに日本にもこの手口が上陸し、有名金融機関などを装った詐欺の実例が出ているほどです。
そこで今回は、この悪質な詐欺の被害に遭わないようにするためにも、注意点をいくつか紹介しましょう。
■ フィッシング詐欺って?
さて、フィッシング詐欺とは、いったいどんな詐欺行為なのでしょうか。本物にそっくりな偽メールや偽ウェブサイトを使って、ユーザーからパスワードやクレジットカードの番号、銀行の暗証番号などの個人情報を騙し取り、それを使用してしまうというインターネット上の詐欺、つまりオンライン詐欺の一種です。
名前の『フィッシング』ですが、これはPhishingとスペルします。発音は、魚釣りのFishingと同じで、エサを使ってユーザーの重要な個人情報を釣り上げるという意味では、基本的にFishingなのです。では、なぜ"f"ではなく"ph"なのでしょう。一説では、ユーザーを騙すための偽メールや偽ウェブサイトが実に巧妙で、洗練されているということから、この"ph"は、英語の「洗練された」という「sophisticated」から来ていると言われています。
では、具体的にどんな詐欺工作がおこなわれているのでしょう。
ここでは、人の心理をうまく突いたタイトルをメールに付けたり、工夫を凝らして巧みに偽サイトへ誘導させる案内文を使ったりして、個人情報などの重要情報を「つい」あるいは「うっかり」入力してしまうように仕向ける『ソーシャルエンジニアリング』と呼ばれるテクニックが使われています。
最も代表的な手口としては、まず、メールの送信元を銀行などの有名金融機関の登録窓口にした偽メールを送りつけます。本文中には個人情報の入力を促す内容の文章と本物の金融機関のウェブサイトにそっくりな偽装ウェブサイトにアクセスさせるリンクを付けておき、そのリンク先にある偽ウェブページにアクセスさせます。そして、偽ウェブページの中にある入力フォームにクレジットカード番号や暗証番号、ログインネームやパスワードなどの重要個人情報を入力させ、それらを不正に入手し、使用してしまうというものです。
では、ここで一つ、実際にある例を挙げてみましょう。
インターネットオークションなどで良く利用されているオンライン決済の会社から無差別にメールが送られてきます。
内容は、『当社のデータベース保護管理システムによると、貴方のアカウントには過去数週間アクセスした形跡がありません。何月何日までにアクセスしない場合は、このアカウントは無効となってしまいます。アカウントを有効に保つためには、至急、下のリンクをクリックして、お持ちのアカウントにログインしてください。』といった感じです。
実際に、リンクをクリックすると、オンライン決済会社のページにそっくりな偽ウェブページが現れ、そこには、いかにももっともらしい入力フォームが用意されているのです。
ほとんどの人は、これを読んだら「つい」アクセスしてしまい、「うっかり」個人情報を入力してしまうでしょう。まさにハッカーたちの思う壺という訳です。
また、上記以外にも有名なものとして『登録済みのクレジット情報が使用不可能となり、現状のサービスが受けられなくなります。再度、個人情報を入力してください。』だとか、『お使いのパスワードが盗まれた可能性があります。パスワードを再確認しますので、現在使用中のパスワードを入力してください。』などがあります。
このように、フィッシング詐欺に引っかかってしまう最大の原因は、偽メールや偽ウェブサイトが、本物のそれと区別するのが非常に難しいということです。もっとも、本物と区別(識別)しにくいという点では、フィッシング詐欺に限らず、近年日本で流行した「振り込め詐欺(オレオレ詐欺)」なども含め、すべての詐欺行為に共通して言えることだと思います。言い換えれば、簡単に識別できてしまうようであれば、詐欺として成立しないという詐欺の本質なのでしょう。
■ 被害防止対策としては…
では、ここでフィッシング詐欺の被害に遭わないために、注意点をいくつか紹介しますので、参考にしてください。
- よほど信頼できるメールでない限り、メール内のリンクはクリックしないようにしましょう。これは、ウィルス感染でも同じことが言えます。つまり、ハッカーたちは、有名企業などに成りすましたり、あるいは、知人のコンピューターを踏み台として利用したりしてメールを送ってくると言うことです。事実、メールの送信者名や送信者のアドレスは、コマンドを操作することによって簡単に詐称できてしまいますし、偽のウェブサイトを作成するのにもそれほど難しい技術は必要ではないのです。
- 個人情報をメールなどで要求される場合は、慎重に対処しましょう。不自然な形で個人情報を要求しているメールに対しては、まず、メールの送信者とされる企業の実際(本物)のホームページやお客様窓口などに問い合わせをして、そういう内容のメールを送信したかどうか確認してください。その企業の公式サイトに掲載されたアドレスや連絡先から問い合わせに対する正式な回答があれば間違いないと判断しても良いでしょう。
- 通常、個人情報などの重要な情報の入力を求める場合は、そのページは『SSL(Secure Socket Layer)』という暗号化で保護されていなくてはなりません。暗号化されている場合は、ウェブアドレスの初めの「http:」の部分に「https:」とhttpの後に「s」が付いています。また、ブラウザウィンドウのステータスバーの右端部分に鍵(錠前)の形をしたアイコンが表示されますので、それをダブルクリックして「セキュリティー証明書」を確認してください。
これら以外にも、まだ対策方法はあると思いますので、皆さんもご自分で調べてみてください。
また、フィッシング詐欺に使われる偽メールは、添付ファイルなども付いていないごく普通のHTMLメールなので、ウィルス対策ソフトでは検知されません。もし、仮に、この偽メールに仕掛け付きのファイルを添付したり、OSやブラウザの脆弱性(弱点)を攻撃したりするようなメールを使用した場合は、ほとんどがウィルス対策ソフトによって発見され、駆除されるということになります。
さて、もう一つ注意しておかなくてはならないのは、以前、このコーナーの『セキュリティー対策編』でも触れましたが、「踏み台」と呼ばれる攻撃の片棒を担がされるコンピューターにされてしまわないように注意することです。
ここでは、攻撃のためではなく詐欺行為の片棒を担ぐため、あるいは、犯行を隠すために貴方のコンピューターがハッキングされ「踏み台」として利用されてしまうということです。詐欺の共犯者にされないように注意してください。
更に、最近では、フィッシング詐欺の最新の手口として、偽メールを見てアクセスしてきたユーザーのコンピューターにブログ(weblog)を利用して「トロイの木馬」を送り込むというものも出現しました。これは、偽メール内のリンクをクリックするとキーロガーのソフトを配布するサイトにアクセスさせられ、コンピューターにキーロガープログラムを送り込まれてしまうというものです。つまり、キーボードでクレジットカード番号や暗証番号、パスワードなどの個人情報を入力した際、すべて盗み出され、使用されてしまうという訳です。
最後に、フィッシング詐欺は、通常の詐欺と同様、金銭を騙し取ることが第一の目的です。フィッシャー(フィッシング詐欺を仕掛けた詐欺師)たちは、ウィルスやスパイウェアの制作者たちのように技術力を誇示して自己満足に浸る愉快犯ではなく、「詐欺」という犯罪のプロたちなのです。フィッシング詐欺に騙されないためにも、各自の「詐欺」に対する意識の向上とインターネットのシステムの理解が求められてくることと思います。日々進化しているフィッシング詐欺に騙されないように、十分に注意をしてください。
情報提供者: 斎藤 浩 (NSW) 2005年4月25日
