世界的に流行するフィッシング詐欺に向けた防御と対策市場
  
Top > フィッシング詐欺に向けた防御と対策市場
   
JNEWS LETTER
2週間無料体験購読
配信先メールアドレス

世界的に流行するフィッシング詐欺に向けた
防御と対策市場

 高齢者に対して息子や孫の声を騙った「オレオレ詐欺」は瞬く間に全国へと広がったが、オンライン上でもこれに似た新手の詐欺が世界中で深刻な問題へと発展しつつある。それは「フィッシング(phishing)」と呼ばれるオンライン詐欺の手法で、発信元が有名企業名などを偽装したメールを、大量のユーザーに発信することにより、クレジットカード番号や個人情報を不正に入手しようとするものだ。偽メールによってユーザーを釣り上げようとすることが「フィッシング」の語源と言われている。

2003年頃から米国ではフィッシング型の迷惑メールが急増している。自社のメールマガジンがスパム化してしまう懸念については、2003/12/5号でも取り上げたがフィッシング詐欺については、ユーザー側に実害が発生してしまうことから、webサイト運営に関わる企業やショップ経営者は、自社のドメインやブランドを騙ろうとする敵に対してどんな防御策を取っていくのかを、事前に考慮しておくことが急務である。現実にフィッシング詐欺が発生している米国での具体的な実例、詐欺の仕組み、対策関連市場の動きなど、最新事情について取り上げてみたい。


フィッシング詐欺の仕組みと被害について

 米国の調査会社 Gartner社よると、米国で詐欺メールを受け取ったことのある消費者は5700万人にも上っているという。その中でも約19%は電子メールに記載されたリンクをクリックしてしまった経験があり、自分の金融情報や個人情報を実際に送信してしまったという回答も3%に上るという。

米国で拡大しているフィッシング詐欺では、主にHTML形式のメールが送信されている。メール上では実在する企業のロゴマークや、社名ドメインによる送信者アドレスが使われているために、ユーザーが一見しただけでは本物の企業サイトから送られたメールと信じてしまうのにも無理はない。

メール上のリンクをクリックすると、ターゲットの本物サイトと URLがよく似た偽装サイトに誘導されて罠にはまってしまう。これまでの標的となっているのは、AOLなどの大手ポータルサイトや Paypalなどの電子決済サイトで、偽装サイト上で口座番号やパスワードの確認を促すメッセージに従い、ユーザーが自分の重要な情報を入力してしまうことによって被害に遭うというものだ。

《フィッシング詐欺の流れ(例)》

 フィッシング詐欺の流れ

8月初旬に注意警告が発せられた米AOLのケースでは、「AOLメンバーサービスからの緊急メッセージ」と題されたメールが@aol.comドメインのサービス担当者を偽ったアドレスから送信され、「23.90ドルの支払いが拒否されたためこのリンクをクリックして手続きしてください」というメッセージが記載されている。受信者がそのメールをクリックすると、ebayのユーザー名およびクレジットカード情報、銀行口座情報を入力するように求められる仕掛けになっていた。

現在のところ、大手ポータルサイトやオークション業者の名を詐称したフィッシングメールが多くを占めているが、今後はオンライバンクやオンライン証券、クレジットカード会社、eコマースサイトなどを偽装したフィッシングが流行していくことが予測できる。フィッシング詐欺では、個人情報漏洩事件のような落ち度がサイト運営者側になかったとしても、屋号やブランド名(ドメイン名)偽装のターゲットとされる可能性があるため、すべてのサイト運営者が「実際に被害が起こること」を想定した対策をしておく必要がある。

《フィッシングのターゲットとなったサイト運営者の損失例》

 ●フィッシング詐欺に遭った自社の顧客に対する補償コスト
 ●顧客ID、パスワードの再発行にかかるコスト
 ●屋号やブランド名(ドメイン名)の信用力低下 
 ●フィッシング対象サイトとなることによる新規顧客数、売上高の低下
 ●フィッシング詐欺犯に対する調査や訴訟にかかるコスト
 ●フィッシング対策を強化したサイトやシステムの再構築費用


フィッシング詐欺への防御策と関連市場の動向

 ネット上で新しい犯罪が登場することにより、その対策サービスに関連した市場が拡大していくことは、セキュリティビジネス全般に言えることだが、今回の「フィッシング詐欺」についても同様の動きがみられる。

Yahooなど主要ポータルサイトやマイクロソフトなど大手ベンダー企業では、提携関係を結んだグループを立ち上げ、対策のガイドラインを制定したり、プロバイダー業者の Earthlink社では一般ユーザー向けの対策ソフトとしてツールバー方式の「Scam Blocker」を無料で配布するなどの策を講じはじめている。

このツールバーをあらかじめインストールしておくと、疑われるフィッシングメール内のリンクをクリックした際にフィッシングサイトへのリダイレクトを防御して警告を発する仕組みになっている。Scam Blockerでは、既に報告されているフィッシングサイトのリストを元に、警告を出すシステムになっているため、新手のフィッシングサイトすべて防御することはできないが、初期の簡易的なチェック機能としては利用できる。

EarthLink Toolbar Scam Blocker


需要が拡大する電子メールの身元確認サービス

 フィッシング詐欺が起こってしまう一番の盲点は、メール送信者を完全に認証する仕組みがない点にある。従来のメール送信方法では、送信者を偽った他人名義のアドレスで大量のスパムメールを送信することが簡単にできてしまうことが問題点として挙げられる。そこでメールサーバーが外部からのメールを受信する際に、送信元のサーバーと送信アドレスとが一致しているかを確認できる技術の開発が各社で進められている。

米ヤフーが開発した「DomainKeys」という電子メール認証機能では、送信側のメールサーバー上で秘密鍵の電子署名がメールのヘッダに埋め込まれる。受信側のメールサーバーでは送信元の DNSサーバーから公開鍵を取得して電子署名を確認することで、本物のアドレス所有者から送信されたメールであることを確認するという技術だ。

《DomainKeysによるメール認証の仕組み》

DomainKeysによるメール認証の仕組み
Yahoo! Anti-Spam Resource Center(DomainKeysの解説)

もう一つの有力なメール認証技術としては、2004年6月末にマイクロソフトが発表した「Sender ID」がある。受信側のメールサーバーがDNSを参照して送信元サーバーのIPアドレスを確認することより、正規のユーザーが送信したメールであることを判定する仕組みになっている。マイクロソフト社では2004年10月頃までに、Hotmail、MSN、Microsoft.com のメールアカウントに関して「Sender ID」技術を使った認証を開始することを発表している。この技術が標準化していくと、Hotmail などのフリーメールサービスから、異なるドメイン名で大量に発信されるスパムやフィッシングメールをブロックすることができる。マイクロソフト社は、これを新たなメール認証プロトコルとして普及させることで商機を狙っているようだ。

Sender ID Framework

ただし、これらのメール認証技術は、送信側と受信側双方のメールサーバーが対応しないと機能しないために、正規の電子メールやメールマガジン送信者である企業やショップ側だけが対策を施しても効果が発揮できないという欠点がある。また偽装者が有名企業に似たドメインを取得して、自前のメールサーバーを立ち上げてフィッシングメールを送信するような場合には防げないことから、新しいメール認証技術がフィッシング対策の完全な特効薬とも言えない。


オンラインショップが講じておくべきフィッシング対策

 フィッシング詐欺は近い将来、日本国内でも流行していくことが予見できるが、オンラインショップとしてもその対策を講じておく必要がある。最も怖いのは自店のメールマガジンを偽装されたフィッシングメールを、不特定多数のユーザーに対して大量送信されてしまうことだ。

もともとオンラインショップのメルマガは販促目的で発行されるため、受信者はメルマガ上のリンクから注文画面へとアクセスしてカード決済などの手続きをする。もしもそのメルマガが正規のショップから配信された本物でなく、偽メルマガだとすれば、注文者は「電子決済で代金だけが引き落とされたものの、商品は届かない」という深刻な被害に遭ってしまう。これを防ぐために正規のオンラインショップが講じておくべき対策としては、大きく二つの項目を指摘しておきたい。

《メールマガジンのカスタマイズ》

 まず一つ目としては、配信する自店のメルマガがたしかに本物であることを受信者側が確認しやすいポイントを作っておくこと。全く同じ内容のメルマガをすべての読者に大量配信する方法では、受信者は真偽の判断をすることが難しい。ある意味、これはスパムメールと同じである。しかしメルマガ上に「顧客名」や「顧客番号」など、自分が会員登録をした正規のショップでしか知り得ないはずの項目が明記されていれば、無作為に大量配信されている偽メルマガではないという判断の目安になる。

顧客名をメルマガ上に挿入など、カスタマイズする方法としては、自店の顧客データベースから抽出した「顧客名」や「顧客番号」を、メール配信システムの「差し込み機能」を利用して挿入することがわかりやすい。

《ショッピングカートのセキュリティ対策》

 二つ目の項目として重視したいのが、オンラインショップのサイト側にあるショッピングカートのセュリティ対策である。しかし現在のところは、国内オンラインショップの9割以上は、カートのセキュリティ面で問題を抱えている。

中小規模のオンラインショップでは、自店が独自にショッピングカートを開発することの負担が大きいために、外部のeコマースソリューション業者から「ショッピングカート機能」のみをASP方式でレンタルしていることが多い。その場合には、オンラインショップの URLが独自に取得した自店ドメインでも、商品説明画面から注文画面上に動いた段階で、外部ASPサイトへとユーザー(購入者)の接続先は無意識のうちに動いている。

そのため正確には。購入者はオンラインショップ以外のサーバーにアクセスして注文手続きをしていることになるが、この仕組みがフィッシング詐欺に応用される可能性が考えられる。


普段はこれに気付いて買い物をしているユーザーは少ないために問題はあまりないのだが、フィッシング詐欺に対する警鐘が世間に広まると、自分がどこのサーバーにアクセスしているのかをユーザー自身が気にするようになるため、ショップ側ではユーザーに不安感を与えないための配慮が必要になるだろう。理想としては、独自ドメインで SSLが通った注文画面上で決済手続きまでを完結させるのが好ましいが、それが難しければ、信頼できる決済サーバーにアクセスしている旨を画面上に明記しておくなどの対策を考えておきたい。

しかしながら、フィッシング詐欺を 100%の確率で完全に防御できる対策というのは、今のところ存在していない。それはwebサイトや電子メールは簡単にデジタルコピーや偽装がされやすい媒体であることに起因しているが、サイト運営者側が何の対策もすることなく、詐欺の蔓延を許してしまえば、会社やショップ本体のブランド力や信用力を失うことにもなりかねない。そして最も恐れておくべきことは「オンライン・サービスの利用はやはり怖い」という先入観が、一般の消費者に根付いてしまうことである。

新手のオンライン詐欺が登場する度に、その対策にかかるサイト運営者側の負担が大きくなることには憤りを感じるが、オンライン社会を健全なものとして維持することが、自分達の商圏を守るための必要不可欠な努力項目であるという考え方をしておくべきだろう。

■JNEWS LETTER関連情報
 JNEWS LETTER 2003.12.5
氾濫する迷惑メールで自社のメールがスパム化する懸念

 JNEWS LETTER 2003.8.02
デジタル社会における名義貸し問題と“なりすまし”型の犯罪
※バックナンバー用ID、PASSWORDを入力してご覧ください。