◆ 「釣り」(fishing)ではありません。「Phishing」です
今回は、現在アメリカで急激に被害が増加しており、日本でも被害の増加が懸念される「フィッシング詐欺」をご紹介します。
フィッシングと言っても、魚釣り(fishing)ではなく、「Phishing」とつづります。
フィッシング詐欺とは、実在の銀行・クレジットカード会社やショッピングサイトなどを装ったメールを送付し、そこにリンクを貼り付けて、その銀行・ショッピングサイトにそっくりな「罠のサイト」に呼び込み、クレジットカード番号やパスワードなどを入力させてそれを入手してしまうという詐欺です。
フィッシング詐欺は現在アメリカで被害が急増しており、フィッシング型の迷惑メールが2003年9月では279件しかなかったのに比べ、2004年3月には21万5643件にまで達したとのことです。
◆ フィッシング詐欺を理解するポイント
- 「送信者詐称」を用い、信頼できるメールアドレスを装う
フィッシング詐欺のメールは多くの場合、送信者(差出人、From)を詐称しています。たとえばCitibankのサイトを偽る手口が実際にありましたが、この場合は「info@citi.com」のような、もっともらしいメールアドレスから送られてくるというわけです。
インターネットセキュリティ: セキュリティ・簡単実験! 「送信者詐称」をやってみよう
このような送信者名から、「あなたの口座の更新期限が迫っています」のような文面でメールが送りつけられるため、「お、そうだったか?」と、リンクをクリックしてしまうわけです。
- 必ず「クレジットカード番号」や「パスワード」を入力するよう求めてくる
こここそが「フィッシャー(フィッシング詐欺を仕掛けた詐欺師)」の最終目的です。このような情報を安易に入力しては絶対にいけません。
- アンチウィルスソフトに検出されない
フィッシング詐欺のきっかけになるのは、何の変哲もないただのメールです。添付ファイルなどもありません。(ただ、ほとんどの場合HTMLメールです。HTMLメールならリンク先のURLを隠すことができるからです。)
何らかの仕掛けがあるファイルを添付したり、脆弱性を攻撃するようなHTMLメールを使うと、多くの場合はアンチウィルスソフトが検出してこれを排除します。しかしフィッシング詐欺で使われるのは本当にただのメールでしかなく、アンチウィルスソフトは何もすることができません。
当然、リンクからジャンプした先のサイトも単なるWebページであり、アンチウィルスソフトが検出できるような「悪意ある攻撃コード」は何もありません。
- Webサイトを作る技術以外、特別な技術は何も必要ない
フィッシング詐欺を行う手順は、偽のWebサイトを作ってメールを送る。たったこれだけです。必要なのはWebサイトを作成する技術だけであり、この程度の技術は誰でもすぐに学習できます。外見を大手サイトそっくりに作るのもまったく難しくありません。本物のWebサイトからHTMLソースと画像をまるまる拝借してくるだけですから。
(ただし、それと同時に「身元を知られずにWebサイトを立ち上げられるサーバを確保する」必要がありますが、これはちょっとテクニックがいります。外国のサーバを利用したり、身元確認の甘いサービス業者を利用するなど。)
次のページからは、フィッシング詐欺を防ぐためにはどのような点に注意すればよいのか見ていきます。