CeCOS VIII レポート～フィッシングの特色

第8回目となるフィッシング詐欺を主とするサイバー攻撃対策ワーキンググループAPWG主催の「CeCOS VIII：The second annual Counter-eCrime Operations Summit」が4月8、9、10日に香港で開催された。セミナーでは、各国で最も問題視されているフィッシング詐欺とその対策、サイバー攻撃に関する法改正等があげられた。その中で特に気になった海外のフィッシング詐欺をいくつかご紹介します。

●狙われるプレミアムSMS

パンダセキュリティ社、ルイス・コロンズ氏が議題にあげたのは、スペインで問題視されている、スマートフォンに搭載された「プレミアムSMS」へのフィッシング詐欺だ。

コロンズ氏によると、プレミアムSMSとは、携帯電話を通じた決済方法の一つで、コンテンツ購入時に送受信されるSMSの通信料金に使用料金を上乗せ課金し決済を行うサービスで、欧米では有料版のスマホアプリの決済方法として一般化している。

このフィッシング詐欺は、人気有料スマホアプリにトロイの木馬を組み込み、プレミアムSMSを不正に利用しお金を調達する。そのアプリのコンフィグファイルを入手する際に情報源となっているのが「WhatsApp」だという。スペインではスマホユーザの97％（※1）が使用するという人気無料通話アプリ「WhatsApp」から容易に名前・電話番号等の個人特定可能な情報収集ができ、それに対しまだ有効な対策は見つかっていないという。

プレミアムSMSを利用した被害は、請求書が送られてきて初めて気付くことが多く早期発見が難しい。現状の対策として、個々の利用者にアプリをダウンロードする際は下記2点を注意することを呼びかけている。

・必ずオフィシャルマーケットからアプリをダウンロードすること

・ダウンロードする際は他利用者のコメントを読むこと（コメント欄に「不正なアプリだ」と書かれていることもある）

●ビッシング詐欺

タイでもSMSを利用したフィッシング被害が目立つ、と電子政府機関に所属するKitisak Jirawannakool氏は語った。その中で気になったのが「ビッシング詐欺」。「ビッシング詐欺（Vishing Fraud）」とは「Voice（声）＋Phishing（フィッシング）」を掛け合わせた造語で、多くの場合、金融機関を装った詐欺者が、電話で利用者のクレジットカード番号や口座情報等を盗む行為。以前は発信元の多くはプライベートナンバーもしくは非通知だったが、現在では実在する金融機関のコールセンターの番号が使用されることが多く、利用者が詐欺だと気付かず情報を渡してしまうことが目立つ。対策は模索中とのこと。

日本でいうところのオレオレ詐欺と同じようなものだろうか。調べてみると、ビッシング詐欺はUKでも流行しているらしく、調査では約6割の被害者が50歳以下で（※2）、日本のオレオレ詐欺の「被害者の約5割は70歳以上（※3）」と比べると高齢者だけでなく比較的若い年齢層が被害に遭っているケースが分かる。日本ではまだ主流ではないがビッシング詐欺に対し、高齢者だけでなく、若者にも警戒していただきたい。

●銀行：フィッシングに対する警告

株式会社セキュアブレイン山村氏が日本のフィッシング事情について語った。中でも三菱東京UFJ銀行のWebページでは全体の75%に警告があるとして会場から笑いがおきる等、海外からみた日本の銀行における利用者への警告が過剰になりつつあることが話題となった。

「アメリカでは銀行の姿勢は違う」と筆者に語りかけたのはフィッシュラボ社のブラッド・ワーネット氏だった。アメリカの銀行サイトではフィッシング詐欺に対する警告はほとんどない。その理由として、利用者がフィッシング詐欺に対して気をつけなくていいと思っているからだ、と話した。アメリカでは、フィッシング詐欺等による不正送金があった場合、その損益は通常銀行が保証しなければならない。利用者としては自分のお金は必ず戻ってくる、だから利用者に対しての警告はあまり利用者には響かない、むしろ、銀行側はシステム対策に専念している。日本の場合は個人の不正送金されたお金の払い戻しがないから、銀行側は利用者がフィッシング詐欺事件に巻き込まれないための警告に注力しているのではないか、と疑問を投げかけられた。

しかし調べてみると、日本でも2008年に改正された民法478条（※4,5）により預金者に過失がない場合、銀行側がその不正送金に対し保証する義務があるとし、実際に2013年度のアンケート調査では申請があった428件中427件（※6）の利用者に払戻しが行われている。ただ警視庁に報告されている被害件数は、1,315件（※7）。これを合わせてみると被害の3分1しか払戻しされておらず、被害者が払戻し保証義務について知らない場合が多いのではないだろうかと感じる。ただし法人口座においては、銀行側に過失がなく不正に送金がなされた場合、その損益は銀行側で保証する義務はないので注意が必要だ。

なぜ日本と海外の銀行で、フィッシング詐欺に対する警告の見せ方が違うのか。一度世界各国の銀行の担当者がこの議題について協議する場があるならば是非参加したい。

今回は、私にとって初めての海外で参加する国際カンファレンス。各国の登壇者・参加者は明るくフレンドリーな方が多く、質疑応答に飛び交うジョークなどから、全体を通して「サイバー攻撃についてのカンファレンスなのに、会場の雰囲気が明るい」という印象を持った。セミナー外でも各々の研究に関して議論するなど学ぶことも多く、参加者の中にはTシャツの袖から入れ墨が見られる方もいて、単色のスーツで彩られる国内の静寂なカンファレンスと違い、「自由」を思わせる活気的なカンファレンスだった。

一つ残念だったことは、中国本土からの出席者に出会えなかったこと。東アジアで起こっているサイバー攻撃に関する話が個人的に聞けなかったことが心残りだったけれど、またどこかの機会に期待を膨らませようと思う。

各国で主流となるサイバー攻撃の手口は様々で、またそれに対する対策や法律も各国で多様。新たな脅威に立ち向かうために最新の情報を交換し合うAPWGの次回イベント「eCrime Research symposium 2014」は2014年9月24日アメリカアラバマ州にて開催予定。