フィッシング詐欺の現状と対策（1）

＜目次＞───────────────
今回：フィッシング詐欺の現状と対策（1）
　1 はじめに
　2 フィッシング詐欺とは
　3 フィッシングの手口
次回：フィッシング詐欺の現状と対策（2）
　4 問題の所在
　5 問題の裏側にあるもの
　6 被害国及びわが国における対策
　7 おわりに
───────────────────

1 はじめに

　近年、アメリカ、イギリス、オーストラリアを中心とする英語圏の各国において、フィッシングと呼ばれる手口の詐欺により、極めて多額の被害が発生している。現在のところ、幸いにして日本国内においては目立った被害を出していないが、近い将来、同手口が日本国内に持ち込まれることが予想される。このような状況を踏まえ、警察庁ではWebページ上で、「いわゆる「フィッシング」事案への注意喚起について」と題した注意喚起文書を公表しているが、今回このような場を頂戴したことから、フィッシング詐欺とその周辺事情についてその概要を述べることで、今後の各方面における対策推進の一助となれば幸いである。なお、本文中の意見にわたる記述については、私見であることをご了解いただきたい。

2 フィッシング詐欺とは

　いわゆるフィッシングとは、発信者を偽装したメールを送信することで、メールの受信者に偽のホームページにアクセスさせ、当該ページにおいて個人の口座番号、ID、パスワード等を入力させるなどして個人情報を不正に入手する行為とされており、英語の造語である「phishing」がその語源である。元々、fishという単語には、「(それとなく)〔…を〕手に入れようとする」という意味があるが、「sophisticate(洗練)」されたメールを利用することにちなんで、発音が同じになるように綴りをもじったものであるとされている。

　フィッシング詐欺は、非常に新しい手口であり、2003年始め頃に出現したと考えられている。その後、銀行やクレジットカード会社の顧客を中心に被害が急速に拡大し、アメリカにおいては、2003年中の被害者数は198万人、2004年4月までの被害推定額は、約24億ドル(約2640億円:1ドル=110円で換算）に及ぶとされている。また、イギリスでは、2003年中の銀行の被害額が約5000万ポンド(約99億円:1ポンド=197円で換算)に及び、オーストラリアでも、フィッシング詐欺が上陸してから1週間で、1銀行あたり約1000万オーストラリアドル(約8億円:1オーストラリアドル=80円で換算)の被害が発生したとされている。従前のサイバー犯罪とはまさに桁違いの金銭的被害が発生していることもさることながら、銀行口座という、人が社会生活を営む上で最も基本的な基盤を、主なターゲットとしているという点からも、被害各国において、極めて深刻な問題となっている。

3 フィッシングの手口

　フィッシング詐欺の「騙しのテクニック」は、2003年の発生当初から、巧妙化の一途をたどっている。まずは、偽の電子メールやWebページの見かけの偽装であるが、正規のWebページ等もデジタルデータに過ぎないことから、単純にデータをコピーしてこれば、寸分違わないものを容易に作成可能である。次に問題となるのは、メールアドレスやWebページのURLであるが、様々な偽装の手口が駆使されており、インターネット上の様々な仕様についての詳細な知識がなければ、見分けるのは非常に困難である。

　まず、偽の電子メールであるが、元々発信元のアドレスの偽装が極めて容易であるので、銀行等あたかも正規の発信者からのメールを装うことに何らの困難はない。電子メールの消印にあたる、ヘッダ内のReceived:行の内容を仔細に検討すれば、ある程度見分けることが可能であるが、一般に広く利用されている電子メールソフトでは、ほとんどの場合この行は非表示とされてしまう。

執筆：警察庁サイバーフォースセンター　伊貝耕
　　　 @police http://www.cyberpolice.go.jp/

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec