最近,テレビやインターネットなどのニュースで「フィッシング」という言葉を聞いたり目にすることが多くなりました。「フィッシング詐欺にご用心」などというものです。米国の市場調査会社であるガートナーの報告によると,米国におけるフィッシングの被害額は24億ドルにもなるそうです。英国やオーストラリアなどでも被害が続出しています。
電子メールとWebサイトを使った詐欺
最近までは,こうした英語圏の国がフィッシングの主たるターゲットになっていました。しかし,2004年11月に有名なクレジットカード会社を名乗った電子メールが国内でも出回りました。今後は,国内でもフィッシングによる被害が出る可能性があるのです。
では,フィッシングとは何なのでしょうか。フィッシングの手口や対策を調査する業界団体Anti-Phishing Working Group(アンチフィッシングワーキンググループ)の定義を引用します。そこには,「送信元アドレスを偽装した電子メールを送ってユーザーを偽のWebページへ誘導し,そのWebページに銀行口座のIDとパスワードなどの個人情報を入力させて不正に入手すること」とあります。
典型的な手口は,以下のようになります。フィッシング・メールの送信者は,有名な銀行やWebショッピング会社の担当者になりすましたメールを不特定多数のユーザーに送ります。メールの本文には,「システムに不具合が起こったので情報を再入力してほしい」などと記述されており,ユーザーを本物そっくりの偽サイトに誘導します。ユーザーがだまされてそのWebサイトに情報を入力すると,個人情報が盗まれるというカラクリです。
このなりすましによって,メールの受け手の5%程度がだまされると言われています。「たかが5%」と思うかもしれません。しかし,電子メールは手紙よりもはるかに安いコストで多くのユーザーに送れます。大量のメールを送れば,それだけだまされるユーザーの数も多くなるわけです。
この手口は,ユーザーをおびき寄せるエサ(メール)を出して,そのエサに食いつくのを待つ「釣り」と似ています。これが,フィッシングという言葉の由来となりました。ただし,フィッシングのつづりは「phishing」です。この理由は諸説ありますが,ユーザーを釣るためのエサである電子メールの内容が洗練(sophisticated)されているためという説が有力です。
情報の入力を急がせる傾向がある
フィッシングに使われる電子メールには,内容に特徴があります。それは,ユーザーに早急に情報を入力することを求める傾向がある点です。フィッシングに使う偽のWebサイトは短期間で消滅します。筆者が行った調査では,たいていどの偽サイトもおよそ1週間で消滅しました。短期間のうちに多くの情報を手に入れ,そのあとは痕跡を消して捕まらないようにしているのです。つまり,「1週間以内に情報を入力しないと…」といったメールを受信したら要注意です。
最近は,フィッシング防止をうたう製品も登場してきました。今後,ネットワークのセキュリティを考えるにあたっては,フィッシング対策も考慮する必要があるでしょう。
