ネットワーク最新情報

ネットワーク・セキュリティー講座

第2回 「フィッシング詐欺」

(2005/9/27)

フィッシング詐欺とはどんなもの?

今、「サイバー犯罪」、あるいは「ハイテク犯罪」と呼ばれる犯罪が急増しています。警察庁がこのほど発表した2005年上半期(1〜6月)のサイバー犯罪の検挙状況によると、サイバー犯罪の検挙件数は、じつに1612件にもなりました。2004年上半期(1〜6月)が1063件だったことと比べると、件数にして549件、約52%の大幅増加となったのです。「1.5倍以上に増えている」のですね。

このサイバー犯罪急増の背景に注目してみると「金銭目的」であることが指摘されています。たとえば、不正アクセスにより入手したIDやパスワードが「何に利用されるか」についてみてみると、インターネットオークションやインターネットバンキングで不正に利用されることが多いのです。インターネットオークションで詐欺をしたり、インターネットバンキングで不正にお金を引き出したりするなどして金銭を得るのが目的なのです。

金銭目的で急増しているサイバー犯罪ですが、その代表的な手口のひとつに「フィッシング」、あるいは「フィッシング詐欺」があります。詳細な手口については後に記しますが、「フィッシング」とは文字通り「釣り」の意味です。「何を釣りあげるのか」というとインターネット利用者の「重要な個人情報」です。そして、フィッシング詐欺によって入手した個人情報を利用して、さらにインターネットオークションで詐欺をしたり、インターネットバンキングで不正に金銭を得るのです。

巧妙に個人情報を盗み出す手口とは

「釣り」のイメージからフィッシングという名称が付けられているのですが、じつは英語での表記は「fishing」ではなく「phishing」です。「f」が「ph」に置き換えられているのです。この理由には諸説がありますが、騙しのテクニックが非常に巧妙で洗練されていることから「sophisticated=洗練された」の意味合いを込めて「ph」という文字に置き換えたとされています。それだけ洗練された手口だけに詐欺にひっかかってしまう人も多いのです。その手口とはどんなものでしょうか。

フィッシング詐欺の代表的な手口は、洗練されているというよりは、じつは非常に単純です。まず、銀行やクレジットカード会社など金融機関からの「正規の電子メール」を装ったメールが届けられます。そこには「重要なお知らせです。当行のセキュリティーに脆弱性が発見されました。至急、以下のURLにアクセスし、ご自身の口座の残高をご確認してください」といった内容が記されているのです。そのメールを読んで大慌てで指定されたURLにアクセスすると、その銀行やクレジットカード会社のホームページが表示されます。このホームページは、その犯罪者が巧妙に構築した偽モノです。それでも「残高が減っていたらどうしよう」とパニックになっている状態では、偽モノかどうかには気がつきません。そのホームページで自分の住所・氏名、口座番号、暗証番号など重要な情報を入力してしまうと、それが犯罪者に知られてしまい、インターネットバンキングで勝手にお金が抜き出されてしまうといった被害にあってしまうのです。

フィッシング詐欺 例1

SSL対応かどうかを確認しましょう

また、クレジットカード会社を装ったケースでは「ここにクレジットカード番号と有効期限を入力してください」などと指示されるケースが多いようです。インターネット上ではクレジットカード番号と有効期限、その他に氏名、生年月日などの情報があれば「ショッピング」ができます。ネット上で犯罪者に勝手にカードを使われて高価な買い物をされてしまうといった被害もでているのです。

一方、さらに巧妙な手口としては、偽の電子メールに記載されているURLをクリックすると、偽のホームページではなく「金融機関の正規のホームページ」にジャンプし、その上で個人情報入力用の「偽のポップアップ画面が表示される」といったものもあるようです。これでは慎重な人でもホームページが本物であるために、つい騙されてしまうかもしれません。

フィッシング詐欺 例2

さて、フィッシング詐欺の被害にあわないための自衛策にはどのようなものがあるのでしょうか。まずは、どんな場合でも、個人情報を入力するときには、「そのサイトが本物かどうかを確認する」ことが最も大切です。金融機関などと個人情報を入力して送受信する際には、暗号化技術である「SSL」が利用されるのが一般的です。ホームページの右下に「鍵」のマークが表示されているかどうかも、あわせて確認しましょう。

その他にも、いったんブラウザを閉じてインターネットの接続を切断し、その後に再度、該当する金融機関のURLを直接に入力して正規のホームページにアクセスしてみるのも効果的です。もし、本当に脆弱性が発見されるなどの「大事件」が発生しているのでしたら、必ずホームページ上で「重要なお知らせ サイトの脆弱性が発見されました」といったかたちで情報公開されているはずです。どんな場合でも、あわてて個人情報を入力せず、ホームページが「本物かどうかを確認する」。これを心がけてください。

「鍵」のマークが表示されているか確認する

Back to page Top