フィッシング詐欺の現状と対策（2）

＜目次＞
前回：フィッシング詐欺の現状と対策（1）
　1 はじめに
　2 フィッシング詐欺とは
　3 フィッシングの手口
今回：フィッシング詐欺の現状と対策（2）
　4 問題の所在
　5 問題の裏側にあるもの
　6 被害国及びわが国における対策
　7 おわりに

4 問題の所在

　フィッシング詐欺の問題の背景には、さまざまな要素が考えられる。第一には、届いた電子メールや閲覧するWWWページについて、上で述べたように、その発信者を特定する有効な認証手段に欠けているという点である。もちろん、電子署名といったメールの送信者等を確認できる技術的手段はすでに存在しているが、一般の利用者が広く利用できるというほど普及が進んでいないのが現状である。

　また、日本国内でも架空請求の被害が頻発したように、インターネット技術によって、詐欺の被害者を「広く浅く」求めることが可能となった点にも触れておきたい。特に電子メールを送信するコストは極めて安いことから、非常に広範囲にわたって詐欺メールを送信することができる。もし、ある詐欺手口が、1,000人に1人、すなわち0.1%程度しか引っかからないような稚拙なものであり、また、1人あたりの被害額が数万円だったとしても、100万人を対象とすることができれば、1,000人の被害者と、数千万円の被害額を出すことになるのである。ましてや、銀行口座が被害の対象となったとすると、平均すると1件当たり数百万円の被害額となることから、前述した被害を受けている各国における膨大な被害総額にも納得がいく。

　さらに、インターネット上でサービスを提供している側の銀行等のシステムについても、IDと暗証番号やパスワードのみで顧客の個人認証を行っている場合も多く、フィッシングによって、それらの個人情報が盗まれてしまうと、その顧客の有する全ての権利が行使されてしまう。暗証番号やパスワードといった、キーボードからの入力に頼った個人認証は、その限界が批判されて久しいが、スマートカード等の協力な認証手段については、誰もが利用できるほど普及しておらず、一般に向けたサービスを提供する側としては、導入が難しいのが現状である。

5 問題の裏側にあるもの

　利用される手口は、一貫して巧妙化してきており、手戻りがないことから、継続的に手口の開発を行っている者が存在しているのではないかと考えられている。これは、犯罪行為の分業といった組織的な取り組みを疑わせるものであり、実際に、一部の報道によれば、国際的な犯罪組織の関与が指摘されているところである。すでに莫大な被害を出していることから、犯罪組織にとって、リスクの少ない、極めて有力な資金源として認知されてきている状況が強く疑われる。

　また、大量のメール送信や偽装Webページについては、ボットネットと呼ばれるゾンビコンピュータ群の関与が指摘されている。ソンビコンピュータとは、ウイルスやトロイの木馬に感染し、正当な利用者が気がつかないうちに、外部の攻撃者にのっとられた状態になっている、インターネットに接続されたコンピュータの通称であるが、1人の攻撃者が、このようなゾンビコンピュータを数千台にわたって組織したものがボットネットである。ボットネットは、攻撃者が自由に操れるコンピュータ群であることから、フィッシング詐欺に必要な偽装メールの大量送信や、偽装Webページの開設に利用されている。ボットネットは、フィッシング詐欺の他にも、スパムメールの送信や、サイバー恐喝と呼ばれる、インターネット上のサービスを対象としたDoS攻撃を行って、再度の被害に遭いたくなければ金銭を支払うよう要求する犯罪にも利用されており、インターネット上の大きな脅威となっている。

執筆：警察庁サイバーフォースセンター　伊貝耕
　　　 @police http://www.cyberpolice.go.jp/

（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec