PR

本物そっくりの偽メールや偽サイトを使ってユーザーを欺き,クレジットカード番号や暗証番号をだまし取るフィッシング。では,フィッシングとは,いったいどういった手口の詐欺なのか。Part1では,まずフィッシングの手口を明らかにしよう。

 「フィッシング」と呼ばれる用語をニュースなどでよく聞くようになってきた。内容はわからなくても,フィッシングという言葉は,耳や目にしたことがあるだろう。このフィッシング,被害者が急増している,インターネット詐欺である。

 2004年末にははじめて国内でも被害が確認され ,その後,UFJ銀行,VISA(ビザ),NICOS(ニコス・日本信販)など,国内の有名企業を装った日本語のフィッシング・メールが次々と出現して被害者も出た。インターネットを使っているユーザーにとって,フィッシングは他人事ではなくなっているのだ。

 では,フィッシングとは,いったいどういった手口の詐欺なのか。2005年3月にあったUFJ銀行を装ったフィッシングの実例を見てみよう。自分がUFJ銀行の顧客になったつもりで読んでほしい。

実際にあったフィッシングを体験

 いつものようにパソコンを起動し,メーラーを立ち上げて受信メールをチェックしていた。すると,見慣れた会社のロゴが目に入ってきた。件名は「UFJ」で送信者の部分には「Verify」(確認)とある。UFJ銀行からの何らかの確認メールのようだ(図1の(1))。

図1●フィッシングの典型的な手口<br>メールを使ってユーザーを偽サイトにアクセスさせ,個人情報を入力させて盗む。図はUFJ銀行を装ったフィッシング詐欺で実際に使われたメールとWebサイトを再現したもの。
図1●フィッシングの典型的な手口
メールを使ってユーザーを偽サイトにアクセスさせ,個人情報を入力させて盗む。図はUFJ銀行を装ったフィッシング詐欺で実際に使われたメールとWebサイトを再現したもの。
[画像のクリックで拡大表示]

 メール本文を読むと,「UFJ銀行のセキュリティ向上に伴いまして,オンライン上でのご本人確認が必要」と書かれている(同(2))。どうやら,銀行のシステム更新に伴う本人確認のお願いのようだ。さらに読み進めると,「この手続きを怠ると今後のオンライン上での操作に支障をきたす」とある。このままでは,インターネット・バンキングが使えなくなる。すぐに手続きをしてしまおう。

 メールに記載されていたhttps:// www.ufjbank.co.jp/~のリンクをクリック。Webブラウザが起動して,UFJ銀行のWebページが表示された。いつものように,フォームに契約番号やパスワードなどの必要事項を入力してログインする(同(3))。

 すると今度は,クレジットカードの番号や暗証番号などを入力するフォームが表示された(同(4))。「ここに情報を入力すればいいわけか。面倒だからさっさと済ませてしまおう」。すべての項目に情報を入力して送信ボタンを押した。すると,UFJ銀行のトップ・ページが表示された。手続きは無事に完了したようだ。

メールとWebを駆使してだます

 ところが,それから数日後にTVニュースでこれが詐欺だったことが報じられた。メールとWebは,UFJ銀行を装った詐欺犯が作ったものだった。メールに記載されていたWebサイトにもう一度アクセスしてみたが,そのサイトは消えていた。慌てて銀行に連絡したが,そのときはもう手遅れだった。偽サイトに送信してしまったクレジットカード番号と暗証番号で,口座から預金が引き出されていた。

 以上のUFJ銀行を装った詐欺こそが,フィッシング詐欺の典型的な手口である。

図2●フィッシングの定義
図2●フィッシングの定義
メールとWebを使ってユーザーをだます詐欺の一種である。

 フィッシングとは,本物そっくりの偽メールや偽サイトを使ってユーザーを欺き,パスワードやクレジットカード番号などの個人情報をだまし取る詐欺のことである(図2)。フィッシング(Phishing)という用語は,メールを使ってユーザーを釣り上げる(Fishing)ところが語源になっている。

 フィッシングに引っかかってしまう理由はいくつかある。最大の理由は,フィッシングに使われるメールとWebサイトが本物そっくりに作られているため,一見しただけでは本物と偽物の区別がつかない点だ。フィッシングの被害者は,最後まで偽物のメールとWebサイトを普段自分が取り引きしている相手のものと思い込む。

 またユーザーは,画面に表示されているメール・アドレスを見て差出人を思い浮かべ,リンク先のURLを見てWebのアクセス先を判断しようとする。ところがフィッシング詐欺犯は,こうした情報を書き換えたり,本物かどうか区別がつきにくい内容に変えている。メールやWebの内容も,実際にあってもおかしくない内容にして,巧みにユーザーをだます。