PR

 前回は,不正アクセスによるクレジットカード情報の流出事件を取り上げた。今回は,不正アクセスとフィッシング行為の観点から個人情報保護対策について考えてみたい。

フィッシングの踏み台にされていた横浜国大のサーバー

 2007年10月23日,横浜国立大学は,学内のサーバーに不正アクセスによる偽サイトが開設されていたことを確認したと発表した(「不正アクセスによる偽サイトの開設について」参照)。10月21日深夜,海外のインターネットによる決済サービス会社から大学へのメール連絡があって発覚したもので,決済サービス利用者の個人情報及び財務情報を収集するための偽サイトが開設されていたという。同学は,翌22日朝,サーバーを停止し,学外からのWebアクセスを遮断して,アクセスログの解析作業など原因究明を行っている。

 公的機関のサーバーが不正アクセスによってフィッシング行為の踏み台にされるケースは,過去にも起きている。例えば,2006年6月に佐賀大学で,公開テスト中の医学部のWebサーバーに,英国の銀行を装って顧客情報を入力させる偽装サイトが開設されていたことが発覚している(2006年6月29日付毎日新聞「佐賀大:医学部サーバー,偽装サイト見つかる「フィッシング」狙い?/佐賀」参照)。2006年1月には,東京都ナースプラザで,Webサイトが使用しているサーバーが外部からの不正侵入を受けて,外国企業の擬似サイトが構築されていたことが判明している(「東京都ナースプラザWEBサイトへの不正侵入について」参照)。

 注目すべきは,いずれのケースも,海外企業からの連絡を受けて不正アクセスが発覚している点だ。サーバーをフィッシングの踏み台に悪用された場合,個人情報漏えいなど直接的な被害を受ける可能性は小さいかもしれないが,標的となった海外企業の顧客情報は高いリスクにさらされる。何らかの国際間連携がないと,防げない問題である。

日本でも巧妙化するフィッシングの手口

 第77回で触れたことのあるフィッシング対策協議会では,海外及び国内のフィッシングに関する情報を提供している。ここで海外の状況を見ると,金融機関から,SNS(ソーシャル・ネットワーキング・サービス),Webメール・サービス・プロバイダ,税務当局などへとフィッシングの標的が広がっている。日本国内についても,新生銀行,イーバンク銀行など,金融機関の利用者を標的にしたフィッシングが事例として紹介されているが,従来に比べると手口が巧妙になってきているという。

 同サイトで紹介されているイーバンク銀行のケースでは,メールの送信元も誘導先の偽サイトも「jp」ドメインに設置されていたという。筆者も,たまに欧米の大手金融機関を騙ったHTML形式のメールを受信することがあるが,本文を読む前にバナーやハイパーリンクにマウスを当てて,ドメイン名やIPアドレスを確認するようにしている。

 社会的信用度が高い企業・組織のWebサイトほど,フィッシングの踏み台として悪用されやすいのは,万国共通のようだ。ブランドイメージ維持の観点からも,アクセス数やトラフィックの動向を定期的にチェックしておくことが求められる。

 次回は,迷惑メール対策について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/