ウェブめがね  >>  第２回 「インターネットの詐欺師たち�@ 〜フィッシング編〜」

ウェブめがね　第２回

「インターネットの詐欺師たち�@ 〜フィッシング編〜」

■増加するインターネットでの犯罪行為

　古今東西、世の中には他人をだましていい思いをしようとする人たちが少なからず存在します。日本では「オレオレ詐欺」が社会問題化するほど頻発したのは記憶に新しいことでしょう。楽して儲けたいのが人の性なれど、ウソをついて金品をせしめたり相手に損害を与えることは不法行為となります。しかし、このような犯罪行為は現実の世の中だけでなくインターネットの世界でもここ数年目立って増えてきました。今回のウェブめがねでは、数ある犯罪行為の中でも今最も多く行われ、且つ私たち全員が標的となっている「フィッシング」についてお話したいと思います。

■口座預金の盗まれ方

　「フィッシング」とは、実在の銀行やクレジットカード会社から送られたように装って電子メールを送りつけ、本物に似せて作られた偽のウェブサイトへ誘導し、そこで銀行口座番号や暗証番号などを入力させて盗み取る詐欺行為を指します。

　 「フィッシング」を英語で書くと「Phishing」となります。造語ですが、これは「Password-harvesting-fishing」の略といった説があり、要は「暗証番号を釣り集める」、そしてその行為を行う「釣師」を「フィッシャー」と呼びます。(日本では「Phishing」の語源は「sophisticated」と「fishing」が組み合わされたものと解説されていますが英米ではこの説明は見られず、他には「この言葉は1996年にAOLからアカウントを不正取得していたハッカーたちによって最初に用いられ、彼らはよく"f"を"ph"と置き換えて綴ることがあったためにこう表記された」という説もあり、正確な語源は定かではありません。)

　 「フィッシング」の最も単純な例としては、まず「フィッシャー」は差出人を「service@citi.com」などと実存の銀行の窓口(例えばCitibankのサービスセンターなど)に見せかけたメールを不特定多数のアドレス宛に送ります。本文では「あなたの口座使用有効期限切れがせまっています」とか「最近あなたの口座で不正と思われる使用があったので口座利用を部分的に制限しました」などと不安感をかきたてた挙句、「正常にご利用いただくためにここをクリックして口座番号と暗証番号を入力しなおしてください」と偽のウェブサイトへ誘導しようとします。そして誘導されてくる偽のウェブサイトもロゴやデザインが本物の銀行と非常に似せて(もしくは本物そのものを使って)作られており、あたかも自分が使用する信頼ある銀行のウェブサイトと錯覚し、つい口座番号や暗証番号を入力・送信してしまい、「フィッシャー」はその情報を不正使用して口座から預金等を盗み出す、という構図です。

■詐欺師たちに釣られるな！

　電子メールセキュリティを専門に扱う英MessageLabs社の調査報告によると、同社が傍受したフィッシングメール数は2003年9月の時点で279件だったのに対し、2004年9月にはなんと200万件に達し、2004年全体数では1800万件を超えたとのことです。

　 また、詐欺の手法も次第に巧妙化してきており、中にはInternet ExplorerやOutlook Expressなどのセキュリティホールを利用してキーロガー(ユーザーがタイプした文字を記憶する不正プログラム)を仕掛け、入力された文字を「フィッシャー」に送信するものや、電子メールのかわりにインスタント・メッセンジャーを媒体にして「フィッシング」を仕掛けるなど、その罠はとどまるところを知りません。

　 ウェブ上でも電話でも、銀行やクレジットカード会社が顧客に暗証番号を聞くことは絶対にありません。もしそのようなメールを受けたり、内容が正しいものか分からない場合は、差出人となっている企業に問い合わせるのがよいと思います。また、誤って個人情報を送ってしまった場合は速やかに銀行に相談すると共に、場合によっては警察に届出をする必要があるでしょう。米国内では「National Fraud Information Center」(www.fraud.org)にて詳しい情報が得られます。

文・ナガイヨシトモ
MultiNet International Inc.

次回は-「インターネットの詐欺師たち�A」