「米国に比べれば,国内のフィッシング事例はゼロみたいなもの。だが,今後“フィッシング組織”に目をつけられれば,被害が増えて,米国同様オンライン・サービスを信用できないような状況になりうる。その前に,サービス提供者だけではなくユーザーも意識を高めておく必要がある」---。セキュリティ・ベンダーであるセキュアブレインの山村元昭チーフテクノロジーオフィサーは6月10日,IT Proの取材に対して注意を呼びかけた。

 山村氏によると,フィッシングは今やビジネスになっており,フィッシングを試みる人物(フィッシャ)は国際的な組織を形成しているという。“フィッシング組織”が現在主なターゲットにしているのは,英語圏のユーザー。フィッシング目的の偽メールや偽サイトは英語で記述されている。名前を悪用される企業も米国に拠点を置く企業であることが多い。

 日本が狙われない理由は「組織が日本の実情や日本語を知らないため」(山村氏)。だが,実情を知れば,集中的に狙われる可能性があるという。例えば,フィッシング組織から個人情報を入手した人物は,その情報を使って偽のキャッシュ・カードを使ってお金を下ろそうとする。しかし「米国では,1回で引き出せる限度額は300~500ドル。一方,日本では数百万円。このような状況を知れば,日本がメイン・ターゲットになる可能性がある」(同氏)

 キャッシュ・カードやクレジット・カードなどの売買情報は,インターネット上のサイトで交換されているという。「そのようなサイトは『カーディング・サイト』と呼ばれている」(山村氏)。カーディング・サイトでは,フィッシング組織が偽カードを作るための情報を売りに出す。偽カードを作りたい人物が,欲しいカードのブランドをフィッシング組織に“発注”する場合もある。「日本では偽カードを使いやすい」といった情報が広まれば,カーディング・サイトで発注され,国内の銀行やクレジット会社の偽メールや偽サイトが次々と出現する可能性がある。

 「現状では,偽メールや偽サイトの多くが英語で記述されている。このため,日本語で記述されていると,国内ユーザーはつい油断してしまう」(星澤裕二プリンシパルセキュリティアナリスト)。国内でも“フィッシング(phishing)”の認知度は高まっているが,まだまだ知らないユーザーは多い。知っていても,対岸の火事だと思っているユーザーも少なくない。本格的に狙われる前に,国内ユーザーは対策するべきだ。

 だが,「『これだけやれば十分』という技術的な対策は存在しない。ユーザーの意識を高めることが最も重要である」(山村氏)。読者のみなさまも,身の回りのユーザーに「フィッシング」という詐欺が存在すること,十分注意する必要があることなどをぜひ伝えていただきたい。

(勝村 幸博=IT Pro)