前回は，不正アクセス禁止法について触れた。今回は同法違反でしばしば摘発される「フィッシング」という手口について考えてみたい。

本物との見分けが難しいフィッシング・メール

　以前，｢個人情報漏えい事件を斬る(10)： 社内だけでは防げないフィッシング詐欺の脅威｣で取り上げたように，「フィッシング（phishing）」は，複雑化した（＝sophisticated）手法で個人情報を釣り上げる（＝fishing）ことから作られた造語である。金融機関や大規模ポータル運営会社などの通知メールを装ってログインパスワードや暗証番号などを盗もうとする手口が多い。

　筆者も今年1月に，米国のオンライン決済サービス「PayPal」の名前を騙ったフィッシング・メールを受取ったことがある。「PayPal」のロゴとタイプフェースが入った，英文のHTML形式メールで，本文には，

In order to secure your account we may require some specific information from you. We encourage you to log in by clicking on the link below and complete the requested form as soon as possible.

https://www.paypal.com/cgi-bin/webscr?cmd= login-run

と記載されていた。

　一見，「PayPal」からのメールに見えたが，リンクのURLにマウスを当てて右クリックし，「プロパティ」を確認すると，別のドメインのアドレスが表示された。電子メールのリンクをクリックした先のホームページは，本物そっくりの作りになっていた。筆者の場合，「PayPal」に登録しているアドレスとは異なるアドレス宛に送付されてきたので，フィッシング・メールと判別できた。しかし，そうでなかったら勘違いしてパスワードを入力していたかもしれない。

　電子メールもホームページも，初心者ユーザーが見たら，まず本物と区別できないというのが，フィッシングの現実だ。当のユーザーが気付かなければ，情報流出による被害が表面化するまで，フィッシングに悪用された企業側も気付かないだろう。警察庁は，以前から「サイバー犯罪対策」ホームページなどで注意を呼びかけている。ホームページを開設している企業であれば，フィッシング犯罪について常時注意しておく必要がある点は言うまでもないだろう。

現行法制度はサイバー犯罪の抑止力として不十分

　警視庁ハイテク犯罪対策総合センターは2006年2月7日，「Yahoo!JAPAN」の偽ホームページを使いフィッシングの手口で会員のIDなどを盗み，ネットオークションで旅行券などを騙し取ったとして，25歳の男性を逮捕したと発表した。容疑は詐欺と不正アクセス禁止法違反である。

　連載の第10回では，「Yahoo!」の偽ホームページを開設し，個人情報を盗むフィッシング行為を行った元会社員が2005年6月に逮捕された事件を取り上げた。その時の容疑は著作権法違反と不正アクセス禁止法違反だった。

　「フィッシング詐欺」という言葉が広く使われているが，日本国内で「詐欺」として初めて摘発されたのは，実は今年に入ってからなのである。フィッシングに遭う恐れのあるユーザーにとっても悪用される恐れのある企業にとっても，これが現実なのだ。

　法律とその犯罪抑止力については，これまでにも個人情報保護法（第10回），不正アクセス禁止法（前回）を取り上げてきた。しかし，エスカレートするサイバー犯罪の抑止力として，現行の法制度が機能しなくなってきている感は否めない。法制度は，企業内部の個人情報保護ルールの前提でもあり，頭の痛い問題だ。

　次回は，相変わらず多発している，ファイル交換ソフトによる個人情報流出について考えてみたい。