フィッシングによるサポートのコスト増は甚大〜星澤氏

2006/3/29

 有限責任中間法人ブロードバンド推進協議会は3月28日、特別講演会「オンライン詐欺の脅威」を実施し、セキュアブレイン プリンシパルセキュリティアナリスト 星澤裕二氏が「フィッシングとスパイウェアの現状と対策」と題した講演を行った。

セキュアブレイン プリンシパルセキュリティアナリスト 星澤裕二氏
  星澤氏は冒頭、「今日、新しくビザ・インターナショナルのフィッシングサイトが見つかった。また、1週間ほど前からKDDIのフィッシングサイトが見つかっており、KDDIが警告するなど、現時点でも多くのフィッシングサイトが存在し、脅威となっている」と警告。「フィッシングになぜ引っ掛かってしまうのか?」という問いに対しては、「引っ掛かる最大の原因は、本物と偽物の区別が難しいから。フィッシングサイト、フィッシングメールのいずれも、時間をかければ見抜くことができるだろうが、大量にくる電子メールのヘッダ情報をいちいちすべてチェックしている人はいないだろう」と説明した。

 また、2004年10月には6957件だったものが、2006年1月には1万7877件までフィッシングの届け出が急増していると指摘。米ガートナーが2005年8月に行ったレポートでは、キャッシュカードなどのフィッシングによる被害額は過去12カ月で約27億5000万ドルに上ったとした。星澤氏はフィッシングで最も被害を受けているのは、有名企業などだという。

 米国の大手ISPアースリンクの場合、1件の同社の名前を騙ったフィッシング事件が起きると、2万件のカスタマーコールを処理せねばならず、1件当たり平均12万7000ドル(2003年の場合)のコストがかかったという。同氏はこの例を挙げて、「アースリンクくらいの大手企業になると、1年間に数十回にわたって、会社名が使われてしまうだろう。つまり、年間100万ドル以上のサポート費用がフィッシング事件の処理にかかっている可能性が高いのだ」と指摘した。

 フィッシングの実例では、テキストメールに見せかけたHTMLメールを送付し、本来のURLを隠して読者をだます方法や、GoogleやYahoo!などのリダイレクト機能を利用して本来のサイトを偽装する手法、アクティブスクリプトを使わないでステータスバーを偽装する方法、スパムフィルタリングに引っ掛からない手法などを紹介した。これらを受けて星澤氏は、「フィッシング詐欺者は、ウイルス作者のような愉快犯ではなく、犯罪のプロである可能性が高い。そのため、今後もフィッシングの手口はますます巧妙になっていくだろう。フィッシングにだまされないためにはユーザーのセキュリティ意識の向上が必須だが、全員にそれを求めるのは不可能だ。やはりシステム的に何らかのフィッシング対策は必須だろう」と語った。

 また、日本固有の犯罪として「ワンクリック詐欺」を紹介。ワンクリック詐欺は「海外では聞いたことがない」(星澤氏)とし、日本独自の詐欺手法だという。ワンクリック詐欺は、あるリンクをクリックしただけで料金を請求する手法と、動画再生ボタンなどを押すと、プログラムをダウンロードして定期的に料金を請求する「ワンクリウェア(ワンクリックウェア)」の2種類が存在するという。アダルトサイトなどクリック後、突然IPアドレスや利用プロバイダ名などが表示され「自分の個人情報が収集されてしまった」と勘違いしたユーザーが料金を支払ってしまうケースが多いという。ワンクリックウェアについては、Windows XP SP2以降であればインストール時に必ず確認画面が現れるため、「ソフトをダウンロードしてインストールするときには、プログラム名などをよく注意してから行ってほしい」(星澤氏)と警告した。

(@IT 大津心)

[関連リンク]
ブロードバンド推進協議会

[関連記事]
これでヤフオクを舞台にしたフィッシング詐欺はなくなる? (@ITNews)
ネット詐欺、絶対被害に遭わない自信がある人は2.4% (@ITNews)
全国初フィッシング詐欺摘発〜Yahoo!に似せたサイトで (@ITNews)
2000のフィッシングサイトをつぶしたマスターカード担当者 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -