「Click The Link Below: The Bad Habits That Create New Victims Of Online Fraud」より
December 11,2008 Posted by Jonathan Zdziarski
我々の多くは「インターネットは全体的に良心を重んじる世界で,かつてユーザーを騙した悪巧みに対して今は『その手には乗らない』という共通認識がある」とが考えがちだ。しかし残念ながら,インターネットの世界に入ってきたばかりのユーザーは,Webサーフィンで学んだ我々の知恵を画面から吸収する術を(まだ)持っていない。初めてインターネットにログインするというユーザーはいまでも驚くほど多いし,安価なブロードバンドの出現により,インターネットを日常生活に不可欠な道具としてさまざまな用途に使い始める学校,会社,家庭が増え続けている。これに対して犯罪者たちは今まで以上に知恵をこらし,新たな手段でインターネット・ユーザーを騙そうとしている。オンラインの世界に長年慣れ親しんできたユーザーでさえ,新たな攻撃手段に気付くのが困難なときもある。
「常識を働かせていれば問題ない」と考えているかもしれないが,オンライン詐欺の犯罪組織が拡大する中,常識はごく一部にしか通用しない。米国連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)がまとめた,2007年のインターネット犯罪に関する報告書「FBI’s 2007 IC3」(PDF形式)によると,オンライン詐欺の被害届けは20万件以上にのぼった。調査開始当時(2000年)の1万6000件から大幅に増えている。届け出のあったもののうち,「Nigerian 419 scams」(ナイジェリア詐欺)をはじめ常識を働かせれば防げるものは,全体のわずか1%に過ぎない。この手の詐欺にひっかかるユーザーはもはやごく少数ということが分かる。このアンダーグラウンド世界の詐欺で代わって頭角を現してきたのがフィッシング詐欺だ。FBIは,フィッシングがメール関連詐欺の中で「最大の被害」を与え,個人の身元に関する情報 -- 例えばクレジットカード番号,社会保障番号,あるいは身元詐称に使えるようなその他情報 -- を不当に取得するとしている。フィッシングは巧妙なトリックでターゲットを騙し,銀行やクレジットカード会社のWebサイトにログインするよう誘導する。ところが,誘導先のWebサイトは個人情報を盗み出すための偽サイトなのだ。
オンライン詐欺や身元詐称といった犯罪は,2007年における被害全体の17%以上を占めている。オンライン詐欺の実入りが良いことを考えると,増加の一途をたどっているのも不思議ではない。IC3に寄せられた届け出の被害総額は2億3900万ドルにのぼる。これは過去最大の被害額だが,届け出件数は過去3年間で最も低い。届け出件数は,被害総額がわずか6300万ドルだった2004年と大差ない。これはつまり,犯罪の手口が巧妙化していることを意味する。これまでよりも手間をかけずに,より多くの金をだまし取っているのだ。
さらに,これら詐欺行為の32%がWebサイト由来,73%がメール由来である事実も,何ら不思議でない。ハッキングあるいは無償ホスティング・サービスを利用してフィッシング・サイト用キット導入済みWebサーバーを数百台用意し,数百万通の電子メールを送り付け,何の疑いも持たないごく少数のターゲットを罠にかける行為には,それほどコストはかからない。その道の専門家なら偽Webサイトを見破ることもあるだろうが,平均的なユーザーはごく限られた直感で偽物かどうか判断するしかない。
Webサイトをアクセスする際には,いくつか常識的なルールを当てはめてみよう。最も有効なのは「アドレス・バーに表示されているURLは,自分が取引している金融機関のものか」と問いただすことだ。この基本ルールを適用するだけで,フィッシング攻撃の大半を防げる。誤ったルールに従うのは危険だ。犯罪者から「Webサイトは安全です」「メールのリンクは間違いありません」などと返信メールが届くのも珍しくはなく,結局はいくつかの悪しき習慣を教え込まれる羽目になる。
犯罪者たちは,ターゲットの裏をかこうと積極的に仕掛けてくる。ただし,被害者がおそらく理解できていないのは,金融機関そのものがこれら犯罪を生み出すもう一つの要因であるということだ。フィッシング・サイトの手口など何年も前に判明しているのに,銀行やクレジットカード会社の多くが,顧客の常識を損なうような条件を定め,悪しき慣習に導いている。もちろん悪意はないが,どういう訳かWeb管理者はフィッシングに関する注意を完全に怠っている。金融機関の悪しき慣習とは,例えば次のようなものだ。
クリッカブル・リンク
クリッカブル・リンクが悪用されると以前から分かっているのに,合法的なWebサイトの多くがいまだにクリッカブル・リンク入りメールを顧客に送付している。メール・メッセージに正しいWebサイトのURLを表示しつつ,実際にはクリックで攻撃者の偽サイトに誘導する,という偽装が可能であるため,クリッカブル・リンクは当初からフィッシング犯たちに悪用されてきた。
メール内のリンクをクリックするよう求められると,顧客はこのような詐欺に騙され,結果的にアドレス・バナーのURLを無視してしまう。
企業からメールを送る場合,メール内のリンクをクリックするよう指示してはならない。むしろWebサイトにアクセスするよう指示するべきだ。URLを提示するのであれば,プレーン・テキストで簡潔に表示しよう。
リンクの貼り付け
クリッカブル・リンクと同じくらい始末が悪いのが,Webブラウザにリンクをコピー&ペーストさせる慣習だ。これも個人データを盗み出すために攻撃者たちがよく使う手だ。その多くは単に「www」またはプロトコル表記の「http://」を取り除いたURLを記載することで,URLフィルタリングをくぐり抜ける。こうした細工により,受信者はリンクがクリックできないため有効だと考えてしまう。受信者が実際にURLを確認するのを阻止することにもなりかねない。
企業が送信するメールには,コピー&ペーストが必要になるような複雑なURLを記載してはならない。Webサイトの代表的なURLのみを記載すれば,顧客はこのURLがその企業のものだと識別できるだろう。このURL以下の階層については,顧客がアクセスしたWebサイトにリンクを設ければ良い。
複数あるサインオン用ドメイン
顧客が正当なWebサイトを識別するには,アドレス・バーのURLを照合するしかない。しかし,大手銀行の多くが複数のドメインを利用するという失策を犯している。Webサイトの運営を他社に委託しているせいで,外部のURLからサインインさせるところさえある。これは顧客を混乱させると同時に,アドレス・バーに表示されたURLを無視するよう仕向けるようなものだ。なぜなら,顧客は表示されているURLが正しいかどうかは決して知り得ないからだ。
サインオン用ページを統一し,ドメイン名は顧客が識別できるよう一つに限るべきだ。コンサート・ホールやイベント会場のように,すべての顧客が列をなして一つの入り口を通り抜ける必要がある。これにより,「企業の登録ドメインはどれか」などの混乱が避けられる。顧客のほとんどは,ドメインの検索方法を知らないのだ。
