経済産業省は、12月9日に「フィッシング・メール対策連絡会議」を開催した。実在する企業へ成りすまし、IDやパスワードなどを詐取、銀行口座などから金銭を盗み出すフィッシング詐欺は、すでに米国において大きな被害が発生しており、国内への影響も懸念されている。

経産省の「フィッシング・メール対策連絡会議」が始動
http://www.security-next.com/001132.html

稚拙な詐欺から進化

従来は、メールでIDやパスワードの返信を要求するという稚拙な手口も多かったが、その後確実に進化を遂げており、深刻度が増している。

まず、送信者およびタイトルは当然偽装されており、ユーザーにメールを開かせる。大抵の場合、HTMLメールを活用しており、メールのレイアウトやHTMLメールのデザインを本物同様にすることで、正規サイトと誤認させる。これらは常套手段だ。

HTMLメールは根本的な問題を抱えている。テキストメールとは異なり、HTMLタグにより、画面表示と異なるサイトへ誘導することが簡単にできる点だ。

さらにジャンプ先のウェブサイトも工夫されている。まず、偽サイトをポップアップウィンドウ風に表示する。もちろんURLは隠した状態だ。そして同時に、正規サイトも新しいウインドウでオープンする。こちらはURLを堂々と表示する。

つまりユーザーには、あたかも正規サイトへアクセスし、同サイトが情報入力を求め、ポップアップウインドウをオープンさせたかのように錯覚させるのだ。非常に巧妙な心理トリックだ。

さらに、これら情報を詐取するフィッシングサイトは数日で閉鎖され、姿を消してしまう。インターネットのリアルタイム性とシステムの根本的な脆弱性、そして人間の錯覚を巧みに組み合わせた犯罪へ進化してきているのだ。

米国から国内へ

調査会社であるGartnerの発表によれば、2003年に米国内で約5700万人がフィッシング詐欺メールやそれらしきメールを受信、そのうち178万人がカード番号などを入力したという。被害額は12億ドルに達したという。

米国財務省の見解では、フィッシング詐欺による個人情報の盗難は、米国企業に年間500億ドルの損失を与え、毎年1000万人のアメリカ人が被害に遭っているという。米国内では、Microsoftや大手プロバイダ、FBIなどが協力し、捜査機関「Digital PhishNet」が設立された。

すでに国内でもフィッシングメールが出回りはじめている。これは個人はもちろん、名前を騙られる「企業」にとっても大きな脅威だ。狙われるのは、大手ポータルサイトや、ショッピングモール、クレジットカード会社、銀行などだ。

すでにヤフーはたびたび同社を騙るメールやウェブサイトに対して注意するようアナウンスしている。そのほか、クレジットカード大手のVISAなども同様の問題に巻き込まれている。

「Yahoo！JAPAN」を偽装したフィッシングメールに注意
http://www.security-next.com/001010.html

「ヤフーなりすましサイト」が横行 - ヤフーが警告
http://www.security-next.com/000145.html

「VISA認証サービス」を偽装したフィッシングメールに注意
http://www.security-next.com/000997.html

イーバンクを騙るフィッシング詐欺メール
http://www.security-next.com/000950.html

シマンテックが定期的に発行している「インターネットセキュリティ脅威レポート」においても、インターネット上でEコマースサイトが攻撃の標的となっており、フィッシング詐欺などの影響を示唆している。

EコマースサイトやWebアプリが標的 - シマンテックセキュリティレポート
http://www.security-next.com/000904.html

現行法律では、情報を詐取するだけでは犯罪行為にならない。これら詐取した情報を元に金銭をだまし取った時点で、はじめて違法性が問える。個人情報については、来年4月以降、情報の取得方法についても法規制の対象になるが、IDやパスワードなど、情報窃盗についてもいち早い対応が望まれる。

企業の観点から

企業としては、自社を詐称する反社会的団体がいないか、つねに細心の注意を払う必要がある。万が一、その兆候を見つけたならば、顧客へ素早く情報を提供し、事件を防止しなくてはならない。

また、画像の表示など、マーケティング目的で採用されてきたHTMLについても、フィッシング詐欺に悪用される危険性が高いことからテキストメールへの変更など検討する必要があるだろう。

実際、米国のTNSとプライバシ保護団体のTRUSTeが行ったアンケートの結果では、ホリデーシーズンにオンラインショッピングを制限するとした回答者は約半数にのぼった。さらにまったく利用しないというユーザーも8％に達したという。

国内でも情報流出に関してユーザーは非常に敏感になっている。シマンテックのアンケート結果では、情報漏洩を不安に思うとの声が9割を占めており、今後フィッシングメールの脅威が増加すれば、Eコマース分野に大きな影響を与えることになるだろう。

9割のユーザーが個人情報漏洩に不安 - シマンテック調べ
http://www.security-next.com/000146.html

企業ではフィッシング詐欺を未然に防ぐ対策も積極的に取り入れなければ、顧客離れも起きかねない。ネットショップなど、インターネットに収益を依存している企業にとっては死活問題だ。

これらフィッシング詐欺を防止する製品も登場している。今年後半にリリースされた各社個人向けアンチウイルスソフトも、フィッシング詐欺防止をアピールポイントに挙げており、注目度の高さが窺える。

セキュリティソフトのトレンドはフィッシングとスパイウェア対策
http://www.security-next.com/000715.html

セキュアブレイン、フィッシング詐欺を防ぐソリューションを発表
http://www.security-next.com/001058.html

NTT、迷惑メールを予防する新システムの公開実験を開始
http://www.security-next.com/001071.html

消費者への啓蒙活動

事故を未然に防ぐという意味でも、教育活動が大きな意味を持ってくる。プロバイダやポータルサイトなど、消費者を対象にした啓蒙活動を開始した。

ヤフー、ネットを安全に利用するためのセキュリティガイドを公開
http://www.security-next.com/001123.html

ニフティ、ネットセキュリティの重要性を解説する期間限定サイトを開設
http://www.security-next.com/001029.html

架空請求や振り込め詐欺（オレオレ詐欺）などについても言えることだが、詐欺の手口は日々進化しており、巧妙化が進む。インターネット上のセキュリティ情報も劣化が早い。すでにフィッシング詐欺とは異なる新手も登場している。

新タイプの詐欺サイトが急増 - ウェブセンス調査
http://www.security-next.com/000887.html

企業、消費者という両側面から同詐欺を防止するシステムがなければ、これら詐欺を防ぐことは難しいだろう。「フィッシング・メール対策連絡会議」には、従来からのフィッシング詐欺はもちろん、今後の進化に対応するシステム作りを期待したい。

（Security NEXT - 2004/12/16 ） ツイート

PR

関連記事

検索用目録と誤って個人情報含むファイルを誤公開 - 新潟県
印刷に利用した患者情報含む私物USBメモリが所在不明に - 愛知県
「GitLab」にセキュリティアップデート - 脆弱性4件を解消
メールサーバがフィッシングメールの踏み台に - 広済堂HD子会社
従業員が退職時に顧客情報を持出、転職先で使用 - プルデンシャル生命
「PAN-OS」のアップデートが公開 - 旧版にも順次提供予定
「XenServer」「Citrix Hypervisor」に脆弱性 - 情報流出やDoS攻撃のおそれ
先週注目された記事（2024年4月7日〜2024年4月13日）
「PAN-OS」に対するゼロデイ攻撃、国内被害は未確認
「PAN-OS」を狙う「Operation MidnightEclipse」 - 3月下旬より展開