国内でも現実のものになったフィッシング詐欺の脅威：2005年アクセストップ10

米国では2004年秋以降に浮上したフィッシング詐欺の脅威が、日本国内でも現実のものとなり始めた（ランキング9位）。

[ITmedia]

　エンタープライズチャンネルで2005年最も注目された記事は何か？　年間ページビューランキングで9位を記録した「UFJ銀行をかたるフィッシング詐欺」の記事から考察してみよう。

　米国では2004年秋以降に浮上したフィッシング詐欺の脅威が、日本国内でも現実のものとなり始めた。その一例が、上記のUFJ銀行を騙ったフィッシング詐欺だ。その後も、Yahoo! JapanのWebサイトを偽装する事件など、いくつかの事例が報告されている。

　フィッシング詐欺は、あたかも本物の企業が運営するWebサイトのように見せかけた偽のサイトにユーザーを誘導し、IDやパスワード、クレジットカード番号といった項目を入力するよう促し、重要な情報を盗み取る一連の手口の総称だ。フィッシング対策団体、Anti-Phishing Working Groupの集計によると、件数が大幅に増加しているわけではないが、減少の傾向も見られない。つまるところ高い水準で推移していると言える。

　これは、オレオレ詐欺同様、犯罪者にとってフィッシング詐欺が「金になる」ということ。その事実が明らかになるにつれ、この分野に組織的に乗り出す犯罪者が増加していると指摘する声もある。

　これに伴い、手口がますます高度化している点にも注意が必要だ。例えば、当初見受けられた、URL表示画像をただ貼り付けるという単純な手口に代わり、クロスサイトスクリプティングの脆弱性を悪用する手法が登場している。また、不特定多数を無差別に狙うのではなく、特定の組織に属する特定の個人を狙うスピアフィッシングという手口も現れている。

　では、フィッシング詐欺を見抜くにはどうしたらいいのか。少なくとも、重要なデータを入力する際にはアドレスバーのURL表示を確認すべきだし、鍵アイコンの表示をチェックし、SSLによる暗号化通信が行われているかを確認すべきだ。もし電子証明書に関するエラーが生じた場合、そのWebサイトは信用すべきではない。

　オンラインサービスを提供する企業の側にもできることはある。システムが不正アクセスを受け、フィッシングサイトに乗っ取られることのないよう適切に管理するのはもちろんのこと、アドレスバーをきちんと表示させるなど、ユーザーを惑わせることのないWebサイト作りが重要だ。期限切れなどによってエラーを出し続ける電子証明書を使い続けたりするべきではない。

　また、電子メールで通知されたWebサイトに不用意にアクセスし、重要なデータを入力することはすべきでないし、企業側もさせるべきではない、といえるだろう。

　ただ、相手（犯罪者）もさるもの、ある手口が知られ、対策が採られるようになると別の手口を考えてくる。フィッシングではなくスパイウェアの事例だが、オンラインショップの運営者にクレームを装ってメールを送りつけ、添付ファイルを実行させた例があるとおり、利用者の心理を突くソーシャルエンジニアリング的手法は今後も使い続けられるだろう。

　結局のところ「あらゆる可能性がある」「究極の対策はない」ことを肝に銘じ、不審なメールには「なんか変だな」と感じる気付きの心を研ぎ澄ませること、それに尽きるのではないだろうか。