■フィシングに関して
今回は、最近話題になっている「フィシング」について書いてみたいと思います。
「UFJ銀行をかたったフィッシング・メールが3月14日夜に確認された。」とい
う報道がありました。いよいよ銀行も狙われ始めたと言うことです。このフィ
シングメールでは,「オンラインでの本人確認が必要となる」として,偽のサ
イトに誘導。ログイン後にクレジットカード番号や有効期限などの入力を促し
ているとのことです。現時点では、「金銭的な被害が発生する可能性は低い」
とのことですが、今後も各種のフィシングメールが皆さんのメールシステムに
飛び込んでくるかも知れません。ご注意ください。
このUFJ銀行の偽サイトはすべて海外にあり、日本のフィッシング情報サイ
トによると,韓国やアルゼンチンにあるサーバーがクラッカに不正アクセスを
受け,UFJ銀行に似せた偽コンテンツを置かれたとのことです。
ところで、「フィッシング」とは何でしょうか?
このフィッシングは、英語のfishing(魚釣り)ではありません。「phishin
g 」と書きます。個人の情報を盗み取り、金品を釣る上げるということで、意
味的にはfishingですが、英語では、phishingと書くのだそうです。
なぜ“f”ではなく“ph”なのでしょうか。ユーザーを釣るためのえさ(メー
ル)が“sophisticated(精巧)に組み込まれているから”、ということのよ
うです。
フィッシング犯罪の多発している米国では、その手口は数百種類にも及んでい
るそうです。米国で被害にあった人の苦難をテレビで見ましたが、人生を狂わ
されるような被害も多発しているようです。われわれも気をつけたいものです。
一般的なフィシングの手口は以下のような手順で行われています。
?実在の大手金融機関やクレジットカード会社、ショッピングサイトなどを装
ったメールを非合法に入手したり、また、ランダムに収集したメールアドレス
に送付します。
?メールにリンクを貼り付けて、その金融機関やショッピングサイトにそっく
りな「罠のサイト」に誘い込みます。
?偽のサイトで、クレジットカード番号やID・パスワードなどを入力させてそ
れを入手するのです。
?入手した個人情報を利用して、ネットショッピングで買物をしたり、クレジ
ットカードの偽造カードを作り、キャッシングサービスで現金を入手します。
ほとんどの人は、インターネット上でクレジットカード番号やID・パスワー
ドなどの情報を入力することは危険であるということは知っています。
しかし、フィッシングの場合、実在する大手金融機関や一流企業の名前でメー
ルが届くので、現実にはその電子メールが偽者であると見抜くのはかなり難し
いとのことです。
つい、うっかりと信じてしまうということです。それだけ巧妙・精巧に仕組ま
れているということです。
■海外の状況
フィッシング(偽装Eメール)の問題は、米国の企業では大きな社会問題とな
っています。フィッシング詐欺などに関する調査結果を要約すると、
1年間に、偽装Eメールを受け取った米国人は約5,700万人も存在し、198万人の
インターネット利用者が、1人平均1,200ドルの被害を蒙ったということです。
盗まれた個人情報の種類は、「氏名」「住所」「社会保障番号」「クレジット
カード情報」などで、銀行及びカード会社が受けた直接的な損害(個人への保
証など)額は約12億ドルということです。
一流企業やハイブランド企業の名前をかたっていることもあり、メール受信
者の約5%が返信しているとのことです。まだまだ、被害は続くようです。
■日本の現状
わが国ではフィツシングによる被害はそれほど表面化していません。冒頭に
書いたように、UFJ銀行のインターネットバンキングを装ったメールが発信
されたようですが、日本でもそろそろ被害が発生しそうです。
経済産業省が「フィツシング対策協議会」を立ち上げたのもこのような背景
があるからです。
http://www.meti.go.jp/press/20050204013/20050204013.html
過去においても、クレジットカード会社の名前をかたってカード番号などを送
らせようとする詐欺メール事件も発覚しています。
このクレジット会社によると、詐欺メールの件名は「おめでとうございます
一万円分のギフトカードの当選です」となっていたそうです。メールの本文に
は、「当選を確定させるため、あなたの住所、氏名、会員番号(カード番号)
や有効期限などをこのメールの返信として送ってください」といった内容が書
かれおり、送信者のアドレスは、同社とは無関係の、あるプロバイダから付与
されたと思われるアドレスで、特に“偽装”はされていないということです。
警察庁もフィッシングに対する注意喚起の文書を公表しており、大手銀行など
もホームページ上でも、自行の名前をかたった迷惑メールへの注意を呼びかけ
ているというのが日本の現状です。
■まとめ
現在のインターネットは、メールの送信者を偽ることが技術的に可能であり、
それがフィッシング詐欺の温床にもなっています。
また、いろんなソフト会社から「フィツシング対策ソフト」も販売されるよう
になってきました。しかし、またまだ、一般に普及する段階ではありません。
従って、今のところ「ユーザー自らが不審なメールには注意深く対応する」と
いう、ウィルス対策と同様の鉄則を守ることしか対策はなさそうです。
フィッシングメールの出現により、金融機関は、個人情報保護とEメール・マ
ーケティング戦略の見直しという、新たな二つの課題に取り組むことが求めら
れています。
個人情報保護法の施行が4月から開始されます。より、一層のセキュリティー
対策の強化が望まれます。
なお、私の関係している、イーセキュリティ・ジャパン株式会社という会社で
は、イスラエル製のフィシング対策用のソフトを採り扱っています。情報をご
希望の方は、ご照会ください。
http://www.esecurity.co.jp/
| 固定リンク
「バンキングオンライン」カテゴリの記事
- ◆ゆうちょ銀行と全銀システムとの接続について(2008.11.06)
- ◆三菱東京UFJ銀行の新システム移行に伴う障害について(2008.05.19)
- ◆バンキングオンラインのSaaS化は可能なのでしょうか?(2008.04.26)
- ◆三菱東京UFJ銀行の統合システム移行について(その2)(2008.02.18)
- ◆三菱東京UFJ銀行の統合システム移行について(その1)(2008.02.18)
コメント