国内でも,オンライン詐欺「フィッシング(phishing)」(関連記事)が話題になり始めた。6月5日には警察庁がフィッシングに関する注意喚起の情報を公開。6月9日にはヤフーをかたるフィッシング・メールを同社が警告。6月18日には,「PSXが当たりました」という内容でユーザーをだまそうとする携帯メールをソニーが警告した。

 最近では,一般紙/誌でも「フィッシング」という言葉を目にするようになった。2003年以降,米国で深刻な被害をもたらしているフィッシング。国内でも蔓延(まんえん)するのは時間の問題のようだ。

予想よりも早かった国内での流行

 筆者が初めてフィッシングを取り上げたのは,2004年3月のこと(関連記事 )。正直,こんなに早く話題になるとは思っていなかった。2004年3月時点では,フィッシングに関する日本語情報はほとんどなかったので,記事を書く前に,英語で書かれたさまざまな情報を参照した。

 そこで悩んだのが「phishing」という単語。フィッシングがどういったオンライン詐欺を指すのかは分かったが,なぜphishingと綴るのかが分からなかった(答えはこちら )。手持ちの辞書には載ってなかったので,区民図書館に行ってとんでもなく分厚い辞書で調べてみたものの載ってはいなかった――。筆者自身もそんな状況だった。

 記事を書いた後,別件の取材で会ったセキュリティに詳しい方とフィッシングについて話をした。筆者の「流行(はや)りますかね?」の問いに,「国内では,単純な架空請求詐欺にだまされる人がまだまだたくさんいる。そういった単純な詐欺にみんながひっかからなくなってからでしょう,フィッシングなんて手が込んだ詐欺が流行るのは」との答え。思わずうなづいてしまった。

 確かに,国民生活センターなどが力を入れて注意喚起しているのは,架空請求についてである(国民生活センターの情報)。「国内で話題になるのは,まだまだ先だろう」――。筆者もそう考えていた。ところが,それほど先ではなかった。

警戒してさえいれば簡単にはだまされないのだが・・・

 国内でも蔓延するのが時間の問題だとすると,現在すべきことはなんだろうか。「どうすればフィッシングにだまされないか」をきちんと知っておくことだろう。フィッシングが可能なのは,ユーザーが「メールの送信者名」と「Webサイトの見た目」を過信するからにほかならない。IT Proの読者には改めて言う必要はないだろうが,メールの送信者名(Fromアドレス)として表示される情報は,メールの本文の一部(ヘッダー)に過ぎない。送信者がいくらでも偽装できる。

 Webサイトの見た目も同様だ。有名サイトのページから画像などを持ってくれば,いくらでも偽装が可能だ。頼りになるはずの,ブラウザのアドレス・バーの表示もあてにはならない。Webブラウザにはアドレス・バーを偽装できるセキュリティ・ホールが複数見つかっているからだ。IT Proで何度も報じている通りである(関連記事1関連記事2 )。

 実際とは異なるアドレスを表示させたり,アドレス・バー全体を偽装できたりしてしまう。偽装を許すのは,リンクをクリックしてそのページに飛んだ場合だけなので,個人情報を入力するようなサイトにアクセスする場合には,自分でアドレスを入力すると安心だ。

 基本的に,詐欺というものは相手の心の隙を突くものである。警戒している相手はだましにくい。流行する前から「フィッシングは,メールの本文や送信者名,Webサイトの見た目を偽ってだますオンライン詐欺であり,国内でも流行しつつある。だから,送信者名や見た目を鵜呑みにするのはやめよう」と構えていれば,米国の二の舞になることは防げるはずだ。

「コンピュータに詳しくないユーザー」に心構えを伝えるには?

 ただ,以前の記者の眼でも書いたが,IT Pro読者のほとんどは,こんなことを言われなくてもフィッシングにひっかかることはないだろう。問題は,コンピュータにそれほど詳しくないユーザーである。そういったユーザーにこそ,流行前にフィッシングに対する心構えを知っていてほしい。

 読者のみなさまには,ぜひ身の回りの方に,「フィッシングとはどういうもので,どうすれば被害に遭わないか」を伝えていただきたい。幸い,IT Proに掲載されているほかのネタよりは一般的な話題なので,雑談のネタになりうると思う。

 最後に余談だが,最近筆者は,ある一般誌からフィッシングに関する取材を受けた。ニュース記事として掲載するという。一般誌なら幅広いユーザー層に読んでもらえる。喜んで取材に応じた。そして取材の最後に,「御誌のような雑誌に掲載すれば,一般のパソコン・ユーザーにも知ってもらえますよね」と筆者が言うと,「実は,パソコンを持っている読者は少ないんですよ。全体の数%ぐらいですかね。読者アンケートの『今一番欲しいものは』の質問に一番多い答えが『パソコン』ですからね」とのこと。

 少しがっかりしたが,これはこれ。今,どれだけフィッシングを周知できるかによって,今後の被害の大きさが変わってくると思う。IT Proでもフィッシングに関する記事を鋭意掲載するので,ぜひみなさんも,雑談のネタに一回は使ってみてください。

 フィッシングに関する情報は,以前執筆した記者の眼「phishing――だましのメールに釣られるな」(2004年3月15日),IT Pro Securityサイトの特集記事「“フィッシング”に気をつけろ!」(2004年4月21日),「“フィッシング”に悪用可能なセキュリティ・ホールが続出」(2004年7月1日)などにまとめている。フィッシングについて詳しく知りたい方は,これらの記事を参照してほしい。

(勝村 幸博=IT Pro)