Security＆Trust トレンド解説

フィッシング詐欺対策として企業が負うべき責任
〜電子署名はフィッシング詐欺対策の切り札となるか

岡田大助
2004/12/28

---

日本語のフィッシング詐欺メール登場

　IT業界流行語大賞2004年版があるならば「フィッシング詐欺」は間違いなくノミネートされるだろう。最近では、IT系のメディアのみならず、一般向けの週刊誌などでも関連記事が掲載されるようになった。

　フィッシング詐欺とは、金融機関や有名なポータルサイトの名前をかたり、本物そっくりに偽装したメールやWebサイトにユーザーを誘導し、個人情報やパスワード、クレジットカード番号などを盗み取るサイバー犯罪だ（詳細は【いまさらフィッシング詐欺にだまされないために】を参考にしていただきたい）。

　フィッシング詐欺の多くは英文メールである。そのため、米国では社会問題として大きく取り上げられているが、日本では「オレオレ詐欺（振り込め詐欺）」ほど取り上げられていない。一説によれば、フィッシング詐欺の元締めはロシアや東欧のマフィアだといわれている。そのようなやからは「ゴルゴ13」の世界でのみ、おなじみの存在でいてほしいと思う。

　しかし（いや、「ついに」というべきか）、2004年10月ごろから日本語のフィッシングメールが流れだした。もっとも、英文を機械翻訳で日本語に直したような読むに堪えない文章であり、これに引っ掛かるユーザーはいないだろうといったレベルだ。だが、フィッシャー（フィッシング詐欺犯人）が「金になる」と判断すれば、いずれ日本語に堪能なスタッフを引き入れて、日本語力を向上させるだろう。

企業がすべき努力、ユーザーが背負うリスク

　フィッシング詐欺のターゲットとされた企業も手をこまぬいて黙っているわけではない。それぞれのWebサイト上で、「フィッシング詐欺メールにだまされないように」という呼び掛けを行っている。その内容は、フィッシング詐欺メールの文面の紹介や、簡単な自衛のためのチェック項目などだ。

　ほとんどの告知ページでチェック項目として挙げられているのが、Webブラウザのアドレスバーやステータスバーに表示されているURLが正しいものかどうかを確認するようにというものだ。残念ながら、この方法はURLが偽装されている可能性が否定できず、決定的な解決法とはいえない。

　また、「弊社からお客さまの情報を聞き出すようなメールは差し上げておりません」といった注意書きも見られる。しかし、だまされるのはフィッシング詐欺を知らないユーザーであり、果たして彼らがフィッシング詐欺対策のページを事前に読んでいるだろうか。

　このような啓もうページに意味がないとは思わない。だが、実際にリスクを負っているのはユーザーであり、企業のスタンスは「フィッシング詐欺対策はユーザーの自衛が第一」と丸投げになってはいないだろうか。うがった見方をすれば、万が一詐欺が発生したとしても、これらの啓もうページを“免罪符”としてすり抜けようとしてはいないだろうか。

　2004年11月29日、フィッシング詐欺に向けて企業が負うべき責任に先鞭（せんべん）をつけたと評価できるプレスリリースが配信されてきた。消費者金融の巨人である武富士が、外部への送信メールすべてに電子署名を実装すると発表したのだ。

　現時点で武富士をかたったフィッシング詐欺は発生していない。それにもかかわらず全社的にPKIソリューションを導入した武富士の狙いは何なのか。また、識者はフィッシング詐欺に対して電子署名は有効であると指摘していたが、なかなか導入が進まなかった。そこにはどのような障壁があったのか。

　次のページから、武富士の情報システム部へのインタビューを紹介したい。今回は、武富士の取締役執行役員で情報システム部長の高瀬逸穂氏と、同部係長の井上和義氏にお話を伺った。

1/3

Index
フィッシング詐欺対策として企業が負うべき責任
	Page1 日本語のフィッシング詐欺メール登場 企業がすべき努力、ユーザーが背負うリスク
	Page2 「電子署名がないメール＝いかがわしいメール」となるか 電子署名導入は本当にコストが掛かるのか
	Page3 課題は山積みだが、第一歩を評価したい フィッシング詐欺対策として電子署名が受け入れられるか

関連記事

いまさらフィッシング詐欺にだまされないために

S/MIMEでセキュアな電子メール環境をつくる！

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）