「2004年5月のフィッシング攻撃，95％が偽りの送信元アドレスを使用」，米調査

高橋信頼

2004.07.03

　米Tumbleweed Communicationsとフィッシング対策の業界団体「Anti-Phishing Working Group（APWG）」は，5月中にユーザーから報告されたフィッシングに関する情報を集計して米国時間6月28日に発表した。それによると，新たに報告されたフィッシングの手口は1197件で，4月中に報告された1125件から6％増えただけだった。

　分析により，詐欺メールでは，送信者の身元を偽り，スパム・フィルタを回避するために95％が送信元として偽りの電子メール・アドレスを使用していることが明らかになった。
そのため，電子メールの送信元認証技術が，不正の電子メールが受信箱に届くのを防ぎ，フィッシング攻撃の有効性を低下させるための重要なステップとなるという。

　APWGのメンバーがいくつかの認証規格を提案しているが，これらは電子メール・ユーザーに送信元を偽ったメッセージが届くのを防ぐことを目的としている。ISPが電子メール認証技術を導入すれば，受信者に到達するフィッシング攻撃が減少するとともに，多くのスパムと電子メール・ベースのワームとウイルスの大部分を遮断することができるという。

　フィッシングは，不正な電子メールやWebサイトを利用して，クレジット・カード番号，パスワード，PIN（暗証番号）といった個人情報を引き出す手法。フィッシングを試みる“フィッシャ（phisher）”は，有名な銀行，オンライン・ショップ，ISP，クレジット・カード会社などの信用されるブランドを偽ることによりメール受信者を欺く。フィッシャは，最大5％の成功率を達成しているという。

　調査により，5月に出現したフィッシングで名前を使われることが最も多かったのは，米Citibank（370件）で，4月の475件から減少したことが明らかになった。次いで，米eBay（221件），米Paypal（135件）だった。米U.S. Bankに対する攻撃は170％増加し，米AOLへの攻撃も2倍に増えた。金融サービスへの攻撃がもっとも多く，同部門は843件の攻撃を受けた。

　APWG会長兼Tumbleweed Communications社シニア副社長は「フィッシング，スパム，ウイルスといった電子メール攻撃におけるアキレス腱は，送信者の身元を隠すための送信元のアドレス偽造に依頼している点である」と述べている。同氏は，「問題の大部分は，電子メール・サーバーは，電子メールが主張する送信元の真偽を問わず，すべてを受け入れていることにある。ISPが送信元の確認を開始すれば，フィッシングを含む多くの電子メールの悪用が大幅に軽減されるだろう」としている。