本当はひどい? 日本のフィッシング詐欺被害200倍の規模も想定

最近、政府機関や国内の企業をかたったフィッシング詐欺が増加傾向にある。スペシャリストらが詐欺の実情と対策を紹介した。

» 2008年05月20日 07時00分 公開
[國谷武史,ITmedia]

 実在する組織やサービスの名称をかたった電子メールをコンピューターユーザーに送りつけ、実在サイトに似せたWebサイトで個人情報などを搾取する「フィッシング詐欺」。最近では、日本の政府機関や企業の名称をかたった手口が急増している。国内のフィッシング詐欺の実情や対策を紹介するフィッシング詐欺対策協議会主催のパネルディスカッションが5月19日、都内で開催され、専門家らが意見を交換した。

 国内組織をかたったフィッシング詐欺は4〜5年前から存在が確認されていたものの、最近ではゆうちょ銀行やイー・バンクの名称、サービスを悪用した手口が発見されるなど、日本を狙った手口が目立ちつつある。同協議会が取りまとめたフィッシング詐欺サイトの発生件数は、2006年度の220件から2007年度は1157件に急増した。

半年間も放置されたケースも

片山氏

 電子マネーサービスのビットキャッシュで営業企画部長を務める片山昌憲氏は、2月に起きた同社をかたった融資勧誘の電子メールでの被害を紹介した。

 この手口では、闇金融業者とみられる組織が配信した融資を勧誘する電子メールにビットキャッシュの社名やサービス名称を掲載していた。電子メールにはURLが記載され、クリックすると個人情報を入力するページが表示されたという。

 一般的に、フィッシング詐欺では搾取した個人情報をブラックマーケットで売りさばくのが目的とされている。だが、片山氏によれば同社の被害例では、犯罪組織が融資見込み客のリスト作成を目的に同社の名称を悪用した可能性がある。「ユーザーを信用させるには著名なブランドをかたるのが最も効果的。当社に限らず金融機関のブランドを盗用する手口が増えている」(片山氏)

 また、フィッシングサイトをいくつも仕掛ける手口も目立つ。同社の例では20サイトが発見され、ホスティングされている場所も世界各地に及んだ。同社では発見次第、ホスティング事業者に削除依頼をして対応を促したが、東欧にホスティングされていたWebサイトのケースでは半年以上も放置されたという。

 この場合、言語の壁やフィッシング詐欺に対する理解の違いにより、被害に遭遇した企業とホスティング業者の間で十分な意思疎通が図れず、対応が遅れた。片山氏は、「フィッシング詐欺サイトをできる限り監視しているが常時監視するのは事実上不可能。業界で何らかの手段を考えていきたい」と話した。

抜本策は難しい?

小宮山氏

 フィッシング詐欺に限らず、多くのインターネット犯罪は国際化が進んでいる。JPCERTコーディネーションセンターの早期警戒グループ情報セキュリティアナリストの小宮山功一朗氏は、「フィッシング詐欺サイトを能動的に探すのは難しい。海外の対策機関とデータベースを共有化するなど、連携が欠かせない」と話す。

 関係機関による連携はまだ始まったばかり。例えば原因は明らかではないものの、海外ではフィッシング詐欺サイトが1日で数百〜数千件も登場しているのに対し、国内ではそのような傾向はみられないという。このような傾向も、海外機関との協力で少しずつ明らかになってきた。

 一方、経済産業省情報セキュリティ対策室の清水友晴課長補佐は、コンピューターユーザーに対する啓蒙活動を一層強化するという。

 直近でも経済産業省やIPA(情報処理推進機構)をかたった詐欺メールが出回った。今後は電子政府サービスを悪用した手口拡大が懸念されるといい、サービス提供者と利用者の双方の意識向上を緊急課題に挙げている。

清水氏

 「例えば“不審な電子メールは開封しない”“本文のURLはクリックしない”といった基本対策が従来から言われてきたが、最近は正規サービスでも電子メールにURLを記載するケースも一般的になり、実情に即したユーザーへの呼びかけをしていく」(清水氏)

 フィッシング詐欺による被害実態は、事実上把握できないという。詐欺サイトで個人情報を搾取されたユーザー数ばかりでなく、ブランド悪用による被害額などの算定基準も存在していない。

 片山氏は、「ブランド盗用をみても、図版を悪用すれば著作権侵害などで何かしらのアクションが取れるのかもしれないが、電子メールに文字を記載しただけで犯罪と定義するのは難しい。フィッシング詐欺にはこうしたグレーゾーンが数多く存在する」と話す。

 また、同氏が関わった某企業の被害では約200件の顧客から詐欺被害の報告があったが、実際にはその200倍に当たる約4万件の顧客が遭遇したことが想定されるという。

 片山氏は、「現在のオンラインサービスはさまざまな業種・業態の企業が相乗りして実現しているものが多いが、セキュリティに脆弱性を抱えているケースも多く、関係機関の密な協力体制を早急に確立していきたい」と話している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ