PR

 インターネットでは、さまざまな詐欺が横行している。詐欺師たちは、あの手この手で金銭や個人情報をだまし取ろうとしている。その代表例が「フィッシング詐欺」だ。

 フィッシング詐欺(以下、フィッシング)の目的は、ネットバンキングやネットオークションといったサービスで使われているユーザーIDやパスワードなどを詐取すること。フィッシングは、これらの情報を盗むために、実在する企業をかたった偽メールや偽サイトを駆使する。

偽のメールで釣り上げる

 具体的な手口は次の通り(図1)。詐欺師はまず、インターネットでサービスを提供している企業・組織をかたった偽メールを不特定多数に送信する。

 偽メールには、本物そっくりに作った偽サイトへのリンク(URL)が記載されている。偽メールにだまされたユーザーがリンクをクリックすると、ユーザーのWebブラウザーには、偽サイトのログイン画面などが表示される。ここでユーザーがパスワードなどを入力すると、それらは偽サイトに送信されて、詐欺師の手に渡る。

図1●偽メールで偽サイトに誘導
フィッシング詐欺の基本的な流れ。詐欺を企てる人物は、実在する企業や組織のWebサイトとそっくりの偽サイトを用意。次に、そのサイトへのリンクを記述した偽メールを送信する。偽メールや偽サイトを信用してパスワードなどを入力すると偽サイトに送信され、詐欺犯に盗まれる。盗まれた情報は、別の犯罪に悪用されたり転売されたりする。
[画像のクリックで拡大表示]

 以上のように、偽メールをエサにして、ユーザーを偽サイトに“釣り上げる”ため、フィッシングと命名されている。なお、英語のつづりは魚釣りの「fishing」と区別するために、「phishing」とされている。

 偽メールの中には、偽サイトに誘導する代わりに、パスワードなどをメールに記載して返信するよう要求するものもある。こういった手口もフィッシングと呼ぶことが多い。

偽メールは毎月2万種類

 フィッシングが出回り始めたのは2003年のこと。以降、世界中で深刻な被害をもたらしている。特に被害が大きいのは米国。このため米国の金融機関やセキュリティベンダーなどは、フィッシング対策の業界団体「アンチ・フィッシング・ワーキング・グループ(APWG)」を結成。フィッシングに関する報告を受け付けるとともに、対策情報などを提供している。

 そのAPWGによると、毎月2万種類以上の新しい偽メールと、1万以上の新しい偽サイトが世界中から報告されているという(図2)。これだけでも十分多いように思えるが、「APWGのデータは、企業やユーザーからの報告に基づいているので、実際のフィッシングの件数はもっと多いはず」(フィッシング対策ソフトなどを開発販売するセキュアブレインの星澤裕二氏)。

図2●全然減らないフィッシング詐欺
フィッシング対策の業界団体である米アンチ・フィッシング・ワーキング・グループ(APWG)に報告された、月ごとの偽メールの種類と偽サイトの数。月ごとにばらつきはあるものの、2万種類以上の偽メールと、1万以上の偽サイトが毎月新たに確認されている。
[画像のクリックで拡大表示]

 対岸の火事ではない。日本語のフィッシングも2004年ごろから複数出回り始め、2004年6月には警察庁が、7月には経済産業省が広く注意を呼びかけている。

 しかしそのかいもなく、2006年になると、国内でも被害が顕在化。フィッシングで盗んだパスワードを悪用した「不正アクセス行為の禁止等に関する法律(いわゆる、不正アクセス禁止法)」違反の検挙件数が急増したのだ。2004年にはゼロ、2005年にはたった1件だったフィッシング関連の検挙件数が、2006年には220件になった(図3)。

図3●フィッシングがらみの犯罪が国内で急増
国内において、いわゆる「不正アクセス禁止法」違反で検挙された件数のうち、フィッシング詐欺で入手した他人のパスワードを悪用する手口が2006年に急増。220件で最も多かった。ちなみに、2番目はウイルス(スパイウエア)を使って入手する手口で197件、次いで、「パスワード管理の不備を突いて入手(178件)」、「知る立場にあった(49件)」が多かった(警察庁の発表資料から)。