米国では,2003年ごろから「フィッシング(phishing)」と呼ばれるオンライン詐欺が流行している。フィッシングとは,実在する企業から送られたように見せかけたメールなどで偽のWebサイトへユーザーを誘導し,クレジット・カード番号などを入力させる詐欺行為である。FTC(米連邦取引委員会)は2003年7月に一般ユーザーに向けて警告。“アンチ・フィッシング”の業界団体も組織されている。フィッシングに名前を使われることが多い米eBayや米Citibankなどは自社のページでユーザーに注意を呼びかけている。

 対岸の火事ではない。例えばヤフーをかたったフィッシング・メールが出回っている。海外発のフィッシング・メールが国内ユーザーに届く場合もある(写真は,編集部に届いた英語のフィッシング・メール。米Visaからのメールに見せかけている)。国内ではそれほど話題になっていないものの,今後出回る可能性は高い。

 IT Proでは2004年3月から「フィッシング」という言葉を使っているが,実際にはそれ以前からフィッシングに関する記事を掲載している。そこで本稿では,過去に掲載したフィッシング関連の記事をまとめた。以下を参考にして,フィッシングに釣られることのないよう注意してほしい。


 フィッシングに関する記事を初めて掲載したのは,2003年7月。最新の米国ニュース(リリース)を伝える「US News Flash」のコーナーで報じた。ちょうどFTCが警告したり,業界団体が組織されたりしたころと一致する。

ソニー米国法人,顧客サービスを騙る詐欺メールについて警告

 2003年には,米国で「Identity Theft(身元情報の窃盗)」が大きな問題となっていた。その主な手段が「偽の電子メールとWebサイトを使うこと」,すなわちフィッシングだといわれている。

米国で「身元情報の窃盗」被害者が1000万人に。対策はいかに?

 2004年になってもフィッシングの被害は増える一方である。そこでIT Proでも,2004年3月以降,「フィッシング」を警告する記事を掲載した。

phishing――だましのメールに釣られるな

 新たなフィッシング手法は次から次へと生み出されている。

“phishing”の新たな手口が出現,「今まで見たことがない」――業界団体
セキュリティ・ホールを突くフィッシングが出現,キー・ロガーを仕掛ける

 米国のセキュリティ・ベンダーもフィッシングに注目しており,リリースなどで警告している。

米Network Associates,企業および個人にフィッシング対策を指南

 米EarthLinkは,フィッシング防止ツールの提供を開始した。

ID詐取「フィッシング」を防止するIE向けツールバー,米EarthLinkが発表

 ただし,このツールは事前に登録されている“フィッシング詐欺サイト”にアクセスしようとすると警告を発するもの。新たな詐欺サイトへのアクセスは警告しない。フィッシングを行う“フィッシャー”は,詐欺サイトを次から次へと作成しては捨てていく。

 フィッシングに引っかかってしまう原因の一つは,メール・ソフトに表示される送信元アドレス(Fromアドレス)への過信がある。送信元アドレスや送信者名は偽装が容易であるにもかかわらず,例えば「support@ebay.com」と表示されると,米eBayからのメールだと思ってしまう。

「アドレス詐称を防ぐ技術は詐欺メール対策にも有効」――センドメール小島社長

 前述のようなツールを使うことも対策の一つだが,それよりも「送信元アドレスを過信しない」「安易に個人情報を入力しない」――などが有効な対策となる。このことは,フィッシング・メールに限らず,スパム・メールやウイルス・メールにもいえることだ。メールを使った詐欺行為全般に通用する。

 現在のところ,国内では大きな話題になっていないが,日本語のフィッシング・メールも出回っているようだ(ヤフーが公開する情報

 今は,架空の利用料金などを請求する「架空請求メール」が“全盛”だが(国民生活センターの発表資料),今後,国内でもフィッシングが増える可能性は十分にある。注意してほしい。IT Pro読者の中には「そんなこと言われるまでもない」という方も多いだろう。そういった方は,ぜひ周りの方にも注意を呼びかけていただきたい。