フィッシング詐欺から身を守る

L. F. クレーナー(カーネギーメロン大学)
200903

日経サイエンス 2009年3月号

10ページ
( 1.3MB )
コンテンツ価格: 713

 有名企業からのメールを装い,重大な問題を避けるためだとか,特典を受け取るためだとか称して,私たちに速やかに操作するよう仕向けてくるメールがあるのをご存知だろうか。これはフィッシングメールという詐欺目的のものだ。正規のメールに見せかけて,あるウェブサイトにログインさせるか,指定された電話番号に電話をかけさせ,個人情報を引き出すのが典型的だ。なかには被害者がリンクをクリックするかメールの添付ファイルを開くだけで,「マルウエア」と呼ばれる悪意あるソフトウエアがパソコンに侵入するものもあり,フィッシング攻撃者は望むデータを得ることができるだけでなく,そうした被害者のパソコンを操って新たなフィッシングに悪用できるようになる。
  フィッシング詐欺を細かく見ていくとさまざまな種類があるものの,そのやり口はほとんど同じだ。疑うことを知らない多数の被害者が個人情報を犯罪者に伝え,犯罪者はその情報を利用して,被害者の口座へ入り込んで金銭や個人識別情報を盗み出している。米国では2007年のフィッシング被害者は360万人,被害額は32億ドル以上と推定されている。
  この緊急事態をうけ,コンピューターセキュリティー業界はフィッシングに対抗する技術を開発してきた。フィッシングメールを選別するフィルターや,フィッシングサイトに接続すると警告を発するウェブブラウザーなどだ。このようなソフトによって多くの被害が未然に防がれているが,フィッシング攻撃者はこうした技術に一歩先んじようと常にフィッシングの方法を進化させている。また,そもそもフィッシングは人々の無防備さにつけ込んだ詐欺なので,厳密には技術的な問題とはいえない。フィッシング攻撃が成功するには被害者が彼らの誘いに負け,何らかの操作をする必要があるからだ。しかし,この人的要因こそがフィッシング攻撃者を挫く不可欠な武器ともなりうることがわかってきた。