増加の一途をたどるフィッシング

APWGは、10月にフィッシング詐欺で利用されたサイトの数は1142に上り、9月の543サイトと比べて110％の増加したと報告した。7月以来、平均すると毎月36％のペースでフィッシングメールの種類が増えているという。

[IDG Japan]

　Anti-Phishing Working Group（APWG）によると、個人の口座情報をオンラインユーザーから盗み出すという犯罪の防止に向けて金融機関各社が格闘する中、10月のフィッシング詐欺の件数は大幅に増加した。

　APWGが今週公表した報告書によると、先月フィッシング詐欺で利用されたサイトの数は1142に上り、9月の543サイトと比べて110％の増加となった。APWGは、オンライン攻撃を追跡する取り締まり当局、金融機関およびコンピュータセキュリティ企業で構成される団体。

　同グループが10月に報告を受けたフィッシングメールの種類は約6600。APWGのピーター・キャシディ事務局長によると、7月以来、平均すると毎月36％のペースでフィッシングメールの種類が増えているという。「フィッシング技術は組織犯罪で用いられており、自動化によって同技術を利用しやすくなった。フィッシング詐欺は極めて巧妙化してきた」と同氏は指摘する。

　詐欺師がユーザーに偽の電子メールを送信し、有名な金融機関のホームページを装ったWebサイトにユーザーをおびき寄せるというのがフィッシングの手口。フィッシングメールはサイトに口座情報を入力するようユーザーに指示し、詐欺師はその情報からユーザーのIDを詐取するのだ。米連邦取引委員会によると、昨年、1000万人以上の米国人がID盗難の被害に遭っており、またフィッシングメールを受け取ったインターネットユーザーの数は5700万人と推定されている。

　フィッシングで最大の影響を受けているのが金融サービス業界だ。先月出回ったフィッシングメールの1つが、米国最大手の銀行であるCiticorpからのメールを装ったものだ。Gartnerの最近の報告によれば、昨年、銀行およびクレジットカード会社がフィッシング詐欺で被った損害は102億ドルに上る。

　銀行では、フィッシングに対抗すべく、詐欺メールに関する消費者教育を進めている。Webサイトや月例報告書にフィッシングに関する情報を掲載している銀行もある。APWGでは、フィッシャーらが地方銀行もターゲットにすると予想していたが、キャシディ氏によると、地方銀行を狙った攻撃はまだ起きていないという。

　「フィッシャーたちは、CiticorpやBank of Americaといった有名銀行以外には攻撃の範囲を拡大していないようだ。フィッシング攻撃を集中的に受けている有名銀行の数は、7月の4行から10月には6行に増えた。その数はさらに増える見込みだが、われわれの予想よりも増加ペースはやや鈍いようだ」とキャシディ氏は話す。

　APWGは企業およびユーザーに対して、電子メールを開いただけでスクリプトが実行されるという新手のフィッシングについても警告している。キャシディ氏によると、この新手法は今のところブラジルでしか見つかっていないが、これは本格的な展開に向けたテストの可能性が高いという。

　司法省は8月、インターネット上の犯罪行為に関して150人以上を逮捕、告発あるいは有罪判決に持ち込んだことを明らかにした。これらの犯罪の多くはフィッシング詐欺に関係したもの。米連邦捜査局（FBI）では、違法なインターネット活動の多くが国際的な犯罪組織が絡んだものであることから、サイバー犯罪を取り締まるための体制を再編した。