「ある知人(米国人)は,インターネット・バンキングや電子メールの利用をやめてしまいました。ネットが信用できなくなってしまったからです。銀行取引は,すべて電話と郵送に戻したそうですよ」。あるセキュリティ・ベンダーに取材した際,こんなトピックが出た。話題はスパム・メールとフィッシングである。事態はここまで悪化している。このままではネットが崩壊する,あるいは使い物にならなくなる。こう言ったら,大げさだろうか。

急増するフィッシングの被害

 フィッシングの被害は,昨年後半から日本にも広がり始めた。今年3月にはUFJ銀行をかたった日本語のHTMLメールがばらまかれ,同行に問い合わせが殺到した(関連記事)。それだけではない。何人かの顧客は偽サイトにアクセスし,インターネット・バンキングで使う契約者番号やクレジットカード番号などを入力してしまった。金銭的な被害こそ報告されていないものの,顧客に被害が出てもおかしくない状況だったと言える。

 ネット専業銀行のイーバンク銀行も昨年11月,被害に遭った。ある顧客が個人情報を盗み取られたうえ,犯罪者に他行に資金移動されそうになった。同行は資金移動される直前,間一髪で不正に気付き,取引を止めた。これに対して,国内で初めて金銭的な被害を受けたのが,UFJカードである。昨年9月,顧客のカードが偽造され,海外でキャッシングに使われた。はっきりとした証拠はないものの,UFJカードでは,この事件のきっかけはフィッシングだったと見ている(関連記事)。被害を受けた顧客に対しては,同社が身銭を切って補償した。

 狙われるのは金融機関に限らない。世界で被害の数が最も多い米イーベイは金融機関以外で狙われている企業の代表例である(関連記事)。また国内では今年4月,yahoo.co.jpのドメインを詐称したフィッシング・メールが出回った。メールにあるリンクをクリックすると,Yahoo!オークションのWebページを模した「ユーザー・アカウントの継続手続き申請」というページに誘導され,ID/パスワードなどの入力を求められる。入力した情報を送信する先は,全く別の不審なサイトだった。

 同じく4月,米マイクロソフトのWindows Updateの偽サイトが出現した(関連記事)。Windows Updateのつもりでリンクをクリックすると,不審なプログラムをダウンロードさせられる。このプログラムがキーロガーのようなプログラムなら,インターネット・バンキングをはじめ,さまざまなサイトにアクセスする際のID/パスワードを盗み取られる。これらの手口では,金融機関のサイトでなくとも,狙われる危険性は十分にある。

どんな対策が必要なのか

 こうした状況を知っても,ユーザーはインターネットを安心して使えるだろうか。実は,日経コンピュータの4月18日号で,スパム/フィッシングの記事を書いた。見出しは「ネットが使えなくなる日」である。

 その取材では,スパムやフィッシングのせいでネットが使えなくなると考える人は皆無に近かった。広く浸透し,その便利さになれてしまったユーザーが,今さら便利な道具を手放せないだろうというのが理由の一つ。EC(電子商取引)などを展開する企業側が,今までの投資を考えると,そう簡単にはネット利用はやめられないという見方もある。

 ただ,フィッシングの被害は確実に広がっている。手口もどんどん巧妙になる。インターネットの基本的な仕組みであるDNSの不備を悪用して,ユーザーが疑う余地もなく偽サイトに引きずり込む手口さえある(関連記事)。もはや本物と偽者を見分けることは難しい。こうした詐欺が日常化すると,完全にやめてしまわないまでも,バンキングやショッピングにネットは使わないなど,使い方を限定的にせざるを得ない。顧客がインターネットを使わなくなれば,企業にとってもインターネットはチャネルたりえなくなってしまう。

 では,どんな対策を講じれば,今まで通りインターネットを安心して使えるようになるのか。残念ながら,技術だけでの対策は難しい。いくつかの種類の対策ツールが製品化されているが,現状ではどれも効果が限定的で,根本的な解決策にならないからだ。法整備もあまり効果は期待できない。多くの場合,犯行に及んでいるのが,そもそも犯罪を目的としている世界をまたにかけた組織だからだ。

 一部の銀行やISPは,運用面で顧客を守るべく,対策を講じ始めた。海外など,通常利用しているのとは違う地域から口座にアクセスできない仕組みを設けたイーバンク銀行はその一例。ISPには,自社網に偽サイトと思われるサイトを見つけた場合には閉鎖できるように約款を書き換える例が出始めている。

 ただ,これらもインターネット全体での動きには至っていない。犯罪者は,標的をガードの甘い相手に切り替えて犯行を繰り返す。実在している偽サイトを突き止め,閉鎖に追い込んでも,すぐに別のぜい弱なマシンを探し出し,偽サイトを作る。結局,なかなか歯止めをかけられない。

 今となっては,メールもWebもない生活は想像できない。新たな技術の開発や,企業と個人の対策はもちろん,海外の政府,ISPなどとの協調を含めた抜本的な対策に期待がかかる。

(河井 保博=日経コンピュータ編集委員)