現在地 HOME > 国家破産38 > 746.html ★阿修羅♪ |
|
Tweet |
深刻化する「フィッシング詐欺」
John Brandon
http://hotwired.goo.ne.jp/news/news/business/story/20040604106.html
フィッシング詐欺が仕掛ける罠の及ぶ範囲は実に幅広い。犠牲者たちを悪質なおとりサイトへと誘い込み、非常に重要な金融データをかすめ取ってしまうケースもしばしばある。さらに、この詐欺を防ぐことは、想像もできないほど困難かもしれないというのだ。
フィッシング詐欺の手口は、ニセの電子メール(写真)や、偽造ウェブサイト(写真)を使い、個人の金融データ、とくにクレジットカード情報を明かすよう誘いかけるというものだ。多くの場合、詐欺師たちは『イーベイ』利用者愛用のオンライン決済サービス『ペイパル』などの名をかたっている。
5月6日(米国時間)に発表された米ガートナー社の報告書によると、フィッシング型電子メール詐欺に引っかかった人々は米国で約180万人にのぼるという。フィッシング詐欺の電子メールを受け取った経験がある人となると5700万人を超え、フィッシングによるクレジットカード詐欺の被害額はこれまでに年間12億ドル相当にのぼっていると、この報告書は伝えている。
ガートナー社のアナリストで今回の調査の責任者のアビバ・リタン氏(写真)は「フィッシング詐欺は増加の一途だ」と語る。
業界団体の『フィッシング対策ワーキング・グループ』(APWG)の推計では、フィッシング詐欺は今年の4月には前月比で180%増となり、急激な増加を見せているという。
現在までのところ、米司法省が捕らえたフィッシング関連の詐欺師はほんの少数しかいない。そのうち、最も初期に検挙された事件では、5月18日(米国時間)、ザカリー・キース・ヒル被告が連邦法違反で3年10ヵ月の実刑判決を言い渡されている。ヒル被告は、消費者を騙し、473件のクレジットカード番号を詐取した罪に問われていた。
こうしたフィッシングに対しては、すべての関係者――消費者、インターネット・サービス・プロバイダー(ISP)、関連技術の提供者、サイトの所有者――がそれぞれに問題に取り組み、包括的に解決を目指さなければいけないとリタン氏は指摘している。しかし、こうした対策には時間も費用もかかるという。
これまでのところ、フィッシング予防策の選択肢は数えるほどしかない。
米ペイパル社と米アースリンク社では、顧客の啓発や、サイトを検証するツールバー型のユーティリティーソフトを提供し、フィッシングと戦っている。また、両社はコミュニティーに対策への協力を呼びかけているほか、米連邦捜査局(FBI)やスパム監視に関心を寄せる団体などに、ブラックリストに載せたサイトを送付している。
両社は、こうした詐欺で使われるスパムについて、各種メディアを通じて消費者に注意を促すことを、フィッシング対策の最優先事項としている。
ペイパル社では「顧客の意識向上と、常識がなによりも大切だ」と述べ、今では有害で不正なものだとウェブユーザーに広く認識されるようになった、他のインターネット詐欺の場合とフィッシングも変わらないという。
しかし、スパムは、コンピューターユーザーがジャンク電子メールに返信することで狙いを達成する。これに対して、フィッシング詐欺は、偽造サイトを訪れたユーザーから、クレジットカードのデータをかすめ取ってしまうというものだ。大部分のウェブユーザーは、見かけが本物らしくてドメイン名が本物に思えたら、サイトを信用してしまう。
こういった、消費者に焦点を置く対策ではなく、ドメインレベルで機能するフィッシング対策ツールを提供しようと取り組んでいる企業もある。
米マイクロソフト社の電子メール版コーラーID、『Caller ID for E-Mail』(現在は技術仕様が公開されているほか、『ホットメール・コム』のアカウントで提供)、および米ヤフー社の『ドメインキーズ』(『ヤフー・メール』で使用)は、電子メールが信頼できるドメインから発信されたかどうかを検証し、検証結果をもとにフィッシング詐欺のメッセージをブロックする。ドメインキーズはDNS(ドメイン・ネーム・システム)に送信メール・サーバーの公開鍵を登録することで、公開鍵暗号方式を用いた認証を可能にする仕様で、受信メッセージに電子署名を埋め込む。
また、米ポストX社では、ブラックリストに掲載されている詐欺電子メールをブロックするツールを、企業向けに提供している。この製品は(米アースリンク社のウェブユーザー向けツール『スキャムブロッカー』と同様)、ツールバーを使う仕組みになっている。また、有効な電子メール・メッセージをユーザーに送付する前に、デジタル署名を付ける機能も付属している。
「本製品は、あらゆる電子メール・クライアントのユーザーが使えるよう設計してあり、信頼できる組織から発信された電子メールを自動的に検証し、(最も重要な機能として)不正な電子メールを特定する」とポストX社のスコット・オレチョースキー副社長(製品戦略担当)は述べた。
だが、上記のツールのいずれにおいても、認証が機能するのはそれぞれのドメインがサードパーティー技術をサポートしている場合のみだ。また、フィッシング詐欺師たちが認証を回避する方策を開発することも考えられる。
長期的な解決策としては、法制による規制が有効ではないかとリタン氏は提起している。フィッシング対策法が制定されれば、企業が知的財産を違法に使われた場合に、対抗策の1つになるからだ。
米サヨタ社、米サイベイランス社、英エンビジョナル社といった企業では、ひんぱんに詐欺師に名前をかたられる企業を対象に、見張り役を務めるサービスを提供している。このようなサービスを使えば、名前を無断で使われた企業は、フィッシングサイトの所有者に訴訟を起こすことができる。
しかし司法省は、フィッシング詐欺とその他のかたちのID窃盗を区別していない。このため、フィッシングに特定した規制法を連邦レベルで制定するのは難しいかもしれない。
司法省の広報担当者は次のように述べている。「詐欺は詐欺だ。フィッシングと他の不正な活動の唯一の違いは、フィッシングが通常、長期間にわたるということだけだ」
いっぽうで、リタン氏は暫定的な対策として、透かし技術を利用する手法を提案している。サイトを訪問したユーザーが大規模なライブラリーから特定のロゴを1つ選び、再びサイトを訪問した際に同じロゴが現れるかどうかを確認するという手法だ。この方法だと、ユーザー側のかかわりは少なくて済み、1回のロゴの選択で「偽造者を騙す」ことができるという。
[日本語版:湯田賢司/長谷 睦]
日本語版関連記事
・2つ目のパスワードで認証セキュリティーを強化
・急増する「フィッシング」メール詐欺、被害額は12億ドル
・不正に集めた顧客情報を利用し、ハリウッド映画界にデビュー
・メール詐欺:「フィッシング」型が半年で800倍に
・トロイの木馬・ウイルス・フィッシングを組み合わせた詐欺メール
・スパム業者とクラッカーが結託:追跡不可能なサイトやスパム送信ウイルス開発