「海外の銀行などをかたったフィッシング・サイトが日本国内に構築されるケースが増えている。今後は,日本のユーザーも標的になる可能性が高い。(フィッシングによる被害が多数報告されている)米国のような状況になる前に手を打つ必要がある」---。セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)代表理事を務める歌代和正氏は10月12日,ITproの取材に対して強調した。
JPCERT/CCでは,セキュリティ・インシデント(セキュリティに関連する事件や出来事)に関する国内の受け付け窓口(POC:Point of Contact)として,海外のセキュリティ組織などとさまざまな調整を図っている(関連記事:10年目を迎えるJPCERT/CC,「“駆け込み寺”から,情報の“橋渡し役”へ」)。そのなかで最近増えている事例として歌代氏が挙げるのがフィッシングである。海外の企業をかたるフィッシング・サイトが日本国内で運用されているとして,その国のセキュリティ組織や企業から連絡を受けるという。
現在のところ,国内に置かれているフィッシング・サイトは海外企業をかたるものがほどんどで,フィッシングのターゲットは海外のユーザーである。しかしながら,「国内でもネット・バンキングなどが普及すれば,国内ユーザーを狙ったフィッシングが増えるだろう。その前に,何らかの対策を施す必要がある」(歌代氏)。
具体的には,ネットでサービスを提供する事業者側の対策が主に求められるという。「国内の銀行のいくつかは,ワンタイム・パスワードを採用したり,顧客向けのメールに電子署名を施したりしている。こういった取り組みが広がれば,米国のような状況になることを未然に防げる。ただし現状では,各企業が独自に対策を施している。何らかのフレームワークを作るなどして,業界全体で取り組むことが望まれる」(歌代氏)。
