フィッシング詐欺対策、3割は「どうすればよいか分からない」――シマンテック調査

シマンテックは、インターネットの利用者1000人を対象に行った「オンライン詐欺に関する調査結果」を明らかにし、改めて警戒を呼びかけた。

[高橋睦美，ITmedia]

　「フィッシングを含むオンライン詐欺は、予想以上のペースで蔓延している」（シマンテック執行役員副社長コンシューマ事業統括の齋藤秀明氏）――シマンテックは11月19日、インターネットの利用者1000人を対象に行った「オンライン詐欺に関する調査結果」を明らかにし、改めてフィッシング詐欺に対する警戒を呼びかけた。

　最近では日本語で記され、より巧妙な手口を用いたフィッシング詐欺メールが発見されるなど、にわかに国内でもフィッシング詐欺の危険性は高まりつつある。この調査は、このように状況が変化する以前の9月に行われたものだが、フィッシング詐欺に対する認知度の低さが明らかになったとともに、警戒の必要性を感じながらも適切な対処策が分からず戸惑っている利用者の姿が浮き上がってきた。

　このオンライン詐欺に関する調査は、シマンテックがインフォプラントに委託し、インターネット利用歴3年以上の利用者1000名を対象に実施された。調査対象者は男女半々で、年代も10歳台から50歳台まで均等に抜き出されている。

　回答者のうち、いわゆる「架空請求メール」について「知っている」と答えたのが84.5％に上ったのに対し、「スパイウェア」については41.6％、「フィッシング詐欺」にいたっては24.4％と、4人に1人しか認知していないことが分かった。

　一方で、何らかの詐欺を目的としたWebサイトにアクセスしてしまった経験がある回答者は6.7％、はっきりとは分からないまでも疑わしいサイトにアクセスしたのは20.1％。さらに、回答者のうち3％は、実際に個人情報の詐取などの被害に遭ったという。

　一連の調査で目立つのが、確信は持てないまでも「詐欺目的の不正なWebサイトにアクセス（20.1％）」していたり、実害こそないものの「ひょっとしたら何か被害にあっているかもしれない（30.5％）」と、何らかの不安を感じているユーザーが一定数存在することだ。その背景には、フィッシングなどの詐欺について正しい知識を持たず、対策をとろうにも「どうすればよいかが分からない（36.7％）」で手をこまねいている、という状況があるのではないか。

ソフトに頼りすぎるな

　肝心の対策だが、シマンテックの田上利博氏（コンシューママーケティング部 プロダクトマーケティングマネージャ）は、「残念ながらすべての詐欺をセキュリティ対策ソフトウェアだけで防ぐことはできない」という。セキュリティ対策ソフトは有効な対策の1つだが、それに頼りすぎてはいけない。詐欺行為の手口を正しく理解し、怪しいものを避けるよう高い防犯意識を持ってインターネットを利用することが重要だという。

　たとえばこうしたソフトでは、悪意あるプログラムの実行などはブロックできても、ユーザーが自らリンクをクリックするなどして詐欺サイトにアクセスし、だまされてしまうことまでは防げない。ちなみに、フィッシング詐欺と思しき怪しいWebサイトにアクセスした6.7％の人のうち、「メール本文中のURLをクリックしてアクセスした」人は57.8％に上っていた。

　同氏が挙げた、ソフト以外の対策には以下のようなものがある。

• 疑わしいメール内のURLはクリックしない
• 疑わしいWebサイトでは個人情報を入力しない
• 銀行などのWebサイトで個人情報を入力する際には、メール内のリンクをたどらず、アドレスバーにURLを直接入力する

　シマンテックでは特に挙げてはいないが、他に、HTMLメールは極力利用しないことも対策の1つに数えられるべきだろう。

　フィッシングメールの見分け方としては、「誤字脱字がないか」「ユーザーの不安をあおるような文面ではないか」といった事柄が挙げられる。そもそも、「金融機関などがメールやWebで個人情報を送信するよう求めることなど、普通はまずありえない」（田上氏）。まともな会社ならば、センシティブな情報を扱う際には窓口や電話での確認を行うはずだからだ。

　もし、メール内のURLなどをクリックしてあるWebサイトに誘導され、そこで情報の入力を求められた場合には、アドレスバーおよびステータスバーのURLを確認したり、右下に表示される「鍵」アイコンをクリックして電子証明書の内容を確認するといった作業も行うべきという。

　OSやアプリケーションの脆弱性を悪用してURLなどの表示を偽装したり、勝手にデータを送信されたりするケースも考えられる。そうした場合に備え、「最新のパッチを適用する」「定期的にパスワードを更新する」といった基本的なセキュリティ対策をとることも重要だ。

　いささかアナログながら、「クレジットカードの利用明細」「銀行の預金明細」を毎月チェックし、心当たりのない取引が記録されていないかを確認することも有効だ。なお今回の調査では、こうした確認作業をそれぞれ実行しているのは回答者の約55％。いずれの作業も行っていないユーザーは33.7％という。

　そして、フィッシング詐欺で名前をかたられる恐れのある企業の側も、ユーザーに対する注意喚起を行うのはもちろん、「セキュアな環境でサービスを提供し、個人の財産を保護できるよう、責任を持って対応すべき」（田上氏）という。

　この手のオンライン詐欺は、常に手を変え品を変えてユーザーをだまそうと試みるものだ。現にフィッシング詐欺メールは、この1カ月ほどを見てもどんどん巧妙になってきている（関連記事）。結局のところ、「『これでOK』などという対策はない」（田上氏）。サービスを受ける側も、また提供する企業側も、常に意識を高く保ち続けること肝心だという。