PR

そこまでしなくてもだまされる

 しかし実際には,そこまで“凝った”フィッシング詐欺は少ない。本物のサイトがSSLを使っていても,そのサイトのコンテンツ(HTMLファイルやロゴなど)をそのままコピーして,“非SSL”のWebサイトに置いているだけの偽サイトは多い。

 偽サイトのアドレスにも“工夫”が見られないケースが多い。全く無関係のアドレスや,IPアドレスをそのまま使っている場合も多い。

 なぜか。わざわざ“工夫”を凝らさなくても,だまされるユーザーが多いためだと考えられる。ユーザーの多くはWebページの中身だけを見て,Webブラウザのアドレス・バーや錠マークの表示など気にしないのだ。

 この点について,興味深い調査結果がある。米ハーバード大と米カリフォルニア大バークレー校の研究者は2006年3月,フィッシング詐欺に関するある調査結果を発表した。その名も,「Why Phishing Works(なぜフィッシング詐欺はうまくいくのか)」(PDFファイル)。

 調査では,22名の参加者に対して,本物と偽物のサイトを混ぜた計20サイトを見せて,どれが偽サイトであるかを理由とともに指摘させた。参加者のプロフィールは,ハーバード大やカリフォルニア大バークレー校の学生およびスタッフ。参加者の男女比はおよそ半々だが,年齢は18歳から56歳までと幅広い。Webやメールを日常的に使っていることが条件だが,利用歴やスキルはさまざまだという。

 その結果,5名(全体の23%)は,サイトの真偽を判断する際に,表示されているコンテンツ(Webページ)の内容---表示されているロゴやページのデザイン,書かれている情報など---だけを参照したという。Webブラウザが表示する“手がかり”---アドレス・バーやステータス・バー,錠マークなど---は全く参照しなかった。

 そのような参加者の1人は,「そこ(アドレス・バー)に表示されている文字や数字を見ることはない。そもそも,何を意味しているのか分からない」と語ったという。

 参加者のうち8名は,コンテンツに加えて,アドレス・バーに表示されているURL(ドメイン名)もチェックするという。ただし,URLが「https://」で始まっているかどうか(SSLで保護されているかどうか)はチェックしない。

 別の2名は,URLが「https://」で始まっていることもチェックするものの,SSL通信を表す錠マーク(pad icon)はチェックしない。錠マークまでチェックするのは5名だった。以上に加えてデジタル証明書の中身までチェックするのは,たった2名だったいう。

偽サイトへアクセスしない習慣を

 「どうせ,リテラシの低いユーザーだけを対象とした調査なのだろう」と,この調査結果に納得できない方もいるだろう。

 だが,ご自分の身に置き換えて考えていただきたい。Webページにアクセスしているときに,そのページのURLをきちんと確認しているだろうか。今アクセスしているサイトが,「itpro.nikkeibp.co.jp」ではなく,「itpro-nikkeibp.co.jp」や「itpro_nikkeibp.co.jp」であっても,表示されているコンテンツが“それらしければ”気付かないのではないだろうか。

 ITpro読者ならば,ITproのようなページはともかく,「個人情報を入力するようなページでは確認している」という方は比較的多いだろう。しかし,確認しない方も,決して少なくないと思う。アドレス・バーなどを確認しなくてもフィッシング詐欺の被害に遭わないのは,スキルのある程度高いユーザーは,そもそも偽サイトへアクセスしないためだからだと筆者は考える。第三者のサイト中のリンクや,メールに書かれたリンクをむやみにクリックしないので,フィッシング詐欺の偽サイトまで到達せず,“偽メールの段階”で危険を回避できているのではないだろうか。

 そのように考えると,「偽サイトの見分け方」を周知させるよりも,「第三者のサイトやメール中のリンクをクリックしてアクセスしたサイトでは,個人情報を絶対に入力しない」ことを徹底させたほうが,フィッシング詐欺対策としては有効である。「見分け方」は,フィッシャーに裏を書かれるとかえって危険だ。前述の「“本物”のSSL証明書を持つフィッシング・サイト」が,その一例といえるだろう。

 セキュアブレインの山村元昭氏は,昨年開催された「RSA Conference 2005 Japan」の講演中,次のような発言をした(関連記事:巧妙になるフィッシングの手口,米国ではメールを信用できない状況に)。

 「『フィッシング・サイトは見れば分かるはず。きちんと確認すれば,だまされることはない』という人がいるが,フィッシングを試みる人が“工夫”を凝らせば,一般ユーザーが見分けることは難しい」---。

 その通りだと思う。筆者も,“万全”の工夫が凝らされた偽サイトを見破る自信はない。フィッシング対策は,“釣られない”ことが第一。リンクがあれば,ついクリックしてしまうのが人情であり,Webの醍醐味ではあるが,フィッシング全盛の現状では,その習慣を見直すべきだろう。