「フィッシングは“振り込め詐欺”と似ていると思うかもしれないが,被害額を考えればフィッシングのほうが深刻になる可能性がある。フィッシングでは,一度に奪われる金額に際限がないからだ」---。JPCERTコーディネーションセンター(JPCERT/CC)の代表理事である歌代和正氏は10月6日,JPCERT/CCと日本ネットワークインフォメーションセンター(JPNIC)が開催したセミナーにおいて,ネット・セキュリティの現状について講演した。
歌代氏はJPNICの理事でもあり,インターネットイニシアティブの特別研究員でもある。JPCERT/CCとJPNICは,インシデント・ハンドリング*に関する知識の共有のために,「JPNIC・JPCERT/CCセキュリティセミナー」を開催している。対象は主にネットワーク管理者。10月6日および7日に開催されるセミナーでは,UNIXおよびWindowsのサーバー・アプリケーションのセキュリティに焦点を当てる。
*インシデント・ハンドリングとは,例えばリソースの不正使用,サービス妨害行為,データの破壊,意図しない情報の開示や,それらに至るための行為に対してどのように予防・対処・復旧し対策をするかということ(JPNICのページより)。
歌代氏は同セミナーの基調講演において,インターネット環境およびセキュリティ状況の変化や現状などについて解説した。
「JPCERT/CCへのインシデント報告の件数はスキャン(ポート・スキャン)に関するものが圧倒的に多い。ただし件数の推移を見ると,フィッシングが著しく増加している」(歌代氏)。2005年4~6月に報告された件数では,スキャンは575件なのに対して,フィッシングは78件だった。だが,スキャンは数年前から多数報告されて,それほど増減がない。他のインシデントについても同様だという。ところがフィッシングだけは,「2004年の同時期と比較するとおよそ10倍になっている。フィッシングは犯罪行為に直接関係するため,この増加がもたらす社会的な意味合いは大きい」(歌代氏)。
フィッシングを悪用すれば,他人の銀行口座などから金銭を盗むことが可能である。歌代氏は,フィッシングによる被害総額は莫大なものになりうると懸念する。「例えば,以前から話題になっている振り込め詐欺では,1件あたりの被害額は数万円から数十万円,多くても数百万円だろう。法外な額を請求すれば,さすがに怪しまれるし,相手もすぐには用意できない。だが,フィッシングでは一度に奪える金額に際限がない。いくらでも盗まれる可能性がある」(同氏)。
振り込め詐欺では被害件数が増えても,被害総額がむやみに増えることは考えにくいが,フィッシングにおいては,件数の増加が被害総額の“激増”につながりうるという。「(インターネットの世界だけではなく)社会的な問題と認識すべきだ」(歌代氏)
「米国などでは既に大きな問題となっている。幸い,国内での被害報告は少ないので,今のうちに何とかしなければならない」(歌代氏)。現在でも,JPCERT/CCをはじめとする国内組織/ベンダーは,フィッシング・サイトが報告されれば,そのサイトを閉鎖するような対応をしている。「“もぐらたたき”の対応ではあるが,ある程度成果は上がっている。しかし,このままでは破綻するのは明らかだ。もっと根本的な対策が必要である。どうすればフィッシングの“合理性”をなくすことができるのか,どうすればフィッシング・サイトを立ち上げられないようにできるのか,JPCERT/CCなどが真剣に考えなくてはいけない時期に来ている」(同氏)
◎参考資料
◆JPNIC・JPCERT/CCセキュリティセミナー2005
