 |
フィッシング詐欺の問題の背景には、さまざまな要素が考えられる。第一には、届いた電子メールや閲覧するWWWページについて、上で述べたように、その発信者を特定する有効な認証手段に欠けているという点である。もちろん、電子署名といったメールの送信者等を確認できる技術的手段はすでに存在しているが、一般の利用者が広く利用できるというほど普及が進んでいないのが現状である。
また、日本国内でも架空請求の被害が頻発したように、インターネット技術によって、詐欺の被害者を「広く浅く」求めることが可能となった点にも触れておきたい。特に電子メールを送信するコストは極めて安いことから、非常に広範囲にわたって詐欺メールを送信することができる。もし、ある詐欺手口が、1,000人に1人、すなわち0.1%程度しか引っかからないような稚拙なものであり、また、1人あたりの被害額が数万円だったとしても、100万人を対象とすることができれば、1,000人の被害者と、数千万円の被害額を出すことになるのである。ましてや、銀行口座が被害の対象となったとすると、平均すると1件当たり数百万円の被害額となることから、前述した被害を受けている各国における膨大な被害総額にも納得がいく。
さらに、インターネット上でサービスを提供している側の銀行等のシステムについても、IDと暗証番号やパスワードのみで顧客の個人認証を行っている場合も多く、フィッシングによって、それらの個人情報が盗まれてしまうと、その顧客の有する全ての権利が行使されてしまう。暗証番号やパスワードといった、キーボードからの入力に頼った個人認証は、その限界が批判されて久しいが、スマートカード等の協力な認証手段については、誰もが利用できるほど普及しておらず、一般に向けたサービスを提供する側としては、導入が難しいのが現状である。
利用される手口は、一貫して巧妙化してきており、手戻りがないことから、継続的に手口の開発を行っている者が存在しているのではないかと考えられている。これは、犯罪行為の分業といった組織的な取り組みを疑わせるものであり、実際に、一部の報道によれば、国際的な犯罪組織の関与が指摘されているところである。すでに莫大な被害を出していることから、犯罪組織にとって、リスクの少ない、極めて有力な資金源として認知されてきている状況が強く疑われる。
また、大量のメール送信や偽装Webページについては、ボットネットと呼ばれるゾンビコンピュータ群の関与が指摘されている。ソンビコンピュータとは、ウイルスやトロイの木馬に感染し、正当な利用者が気がつかないうちに、外部の攻撃者にのっとられた状態になっている、インターネットに接続されたコンピュータの通称であるが、1人の攻撃者が、このようなゾンビコンピュータを数千台にわたって組織したものがボットネットである。ボットネットは、攻撃者が自由に操れるコンピュータ群であることから、フィッシング詐欺に必要な偽装メールの大量送信や、偽装Webページの開設に利用されている。ボットネットは、フィッシング詐欺の他にも、スパムメールの送信や、サイバー恐喝と呼ばれる、インターネット上のサービスを対象としたDoS攻撃を行って、再度の被害に遭いたくなければ金銭を支払うよう要求する犯罪にも利用されており、インターネット上の大きな脅威となっている。
このような状況に対して、被害が発生した各国では、様々な対策が取られつつある。立法府の動きとしては、アメリカでは連邦刑法の改正が行われ、個人認証情報の詐欺目的所持が可罰化された。法執行機関においては、積極的な国際捜査が行われており、一部に検挙にいたった例もある。民間部門においては、主に銀行を中心として、顧客の認証に乱数表を導入するなどの、認証手段の高度化が図られつつあり、主としてメールのフィルタリングのサービスを提供しているセキュリティ関連企業においても、企業に対して自社のインターネット上のサービスがフィッシング詐欺の対象になっていないかを検知するためのフィッシング検知サービスの提供が始まっている。また、偽装Webページの迅速な閉鎖やメールサーバ認証の導入についても、ISPを中心に対策がとられつつある状況である。
一方、日本国内の状況に目を向けると、冒頭に述べたように具体的に大きな被害を出す状況にはいたっていない。これにはさまざまな要因が考えられるが、特に大きなものとしては、言語の壁が挙げられる。OS等の脆弱性を利用して機械的に拡散するワーム等とは異なり、フィッシング詐欺は、詐欺であることから、どこかのタイミングで人間を騙す必要がある。日本人を騙すには、少なくとも日本語でコミュニケーションをとる必要があり、フィッシング詐欺の様々な道具立てのローカリゼーションが必須となる。また、フィッシング詐欺によって得た資金をロンダリングするための環境を作るにも日本語能力をはじめとする日本ローカルな能力が必要となる。このような壁を越えてフィッシング詐欺を敢行するためには、ハッキング能力等に優れ、犯罪行為に手を染めることに抵抗のない日本人の関与が必須となるが、このような人材を探すのは相当な困難が予想される。
また、日本国内の銀行が提供しているインターネットバンキングサービスの個人認証についても、インターネットバンキングサービスの提供時期が諸外国に比べてやや遅かったこともあり、乱数表の使用や、送金の際に第2暗証番号の入力を求めるといった比較的安全な技術が広く導入されている点も大きいだろう。
結論としては、フィッシング詐欺に関して現在の日本がおかれている状況は、極めて幸運なものであり、この状況を継続させることこそが第一の優先度を持つと言える。具体的には、予防と抑止ということになるが、詐欺に関しては手口の積極的な広報が有力な手段であり、そのような内容を含んだインターネットセキュリティに関するユーザ教育の実施についても推進していく必要がある。また、トロイの木馬を利用して、画面のスクリーンショットとキー入力を記録するような手口も発生しつつあることから、インターネット上で各種サービスを提供している企業における、継続的な認証手段の高度化も望まれる。また、フィッシング詐欺に利用されている偽装Webページ等が日本国内のサーバに設置されている場合も考えられるが、このような場合には、関係各国の法執行機関や国内のISP等と協力して、当該ページの閉鎖等、フィッシング詐欺行為の抑止にも努力していきたい。
執筆:警察庁サイバーフォースセンター 伊貝 耕 氏
@police http://www.cyberpolice.go.jp/
本コラムは、ネットアンドセキュリティ総研株式会社発行の「Scan Security Management Vol.087 2004年12月14日号」からの転載です。
|
|
 |
