気付かれないようにIDを盗んで悪用

 クレジットカード番号やネットバンクのパスワードといった「お金になりそうな個人情報」を盗む「フィッシング詐欺」が2003年以降、世界中で大きな被害をもたらしている。

 フィッシング詐欺とは、有名な企業・組織をかたった偽メールと偽サイトでユーザーをだまし、個人情報を盗むネット詐欺のこと(図1)。

図1 フィッシング詐欺の基本的な流れ。フィッシング詐欺犯は、実在する企業や組織のWebサイトとそっくりの偽サイトを用意。次に、そのサイトへのリンクを記述した偽メールを送信する。偽メールや偽サイトを信用してパスワードなどを入力すると偽サイトに送信され、詐欺犯に盗まれる
[画像のクリックで拡大表示]

 詐欺犯はまず、有名企業(組織)のWebサイトそっくりの偽サイトを構築。そしてその企業をかたって、偽サイトへのリンク(URL)を記載した偽メールを送信する(図1(1))。

 メール中のリンクをクリックすると偽サイトに誘導され(図1(2))、偽のログイン画面などがブラウザー上に表示。その画面で入力した個人情報は、すべて詐欺犯へと送信される(図1(3))。

 このように、偽メールをえさにして、ユーザーを偽サイトに“釣り上げる”ため、「フィッシング」と呼ばれている。ただし英語のつづりは、魚釣りの「fishing」と区別するために、「phishing」とされている。

 なお、フィッシング詐欺の偽メールは、不特定多数に送信されることが多いが、特定のユーザーだけを狙って送られることもある。後者については、特に「スピアフィッシング」と呼んで、区別する場合がある。

 フィッシング詐欺対策の業界団体であるアンチ・フィッシング・ワーキング・グループ(APWG)には、世界中のユーザーやメーカーなどから、偽メールや偽サイトの報告が毎日、山のように寄せられている。それによれば、多少の増減があるものの、少なくとも毎月2万種類以上の偽メールと、2万件以上の偽サイトが報告されているという(図2)。

図2 フィッシング詐欺対策に関する世界最大の業界団体であるアンチ・フィッシング・ワーキング・グループ(APWG)に報告された、月ごとの偽メールの種類と偽サイトの数。月ごとに増減は見られるものの、2007年以降、いずれもほぼ毎月2万件以上を維持している
[画像のクリックで拡大表示]