迫り来るフィッシングのわな - (page 2)

　APWGは今月に入って、ある国際的なメール認証戦略を承認した。同団体では、スパムやフィッシング攻撃を妨害するIP検証やデジタル署名技術の開発に、このプロジェクトが役立つと考えている。

　APWG事務局長のPeter Cassidyによると、同団体では、消費者と企業の両方を保護する手法を見つけ出すにあたり、両者の利益のバランスを取るよう心がけているという。フィッシングの阻止には過去の詐欺行為への取り組みから学んだ教訓が確実に役立っていると同氏は語る。

　「フィッシング未遂行為を目にする機会は毎月50％の割合で増加しているのが現状で、ピア・ツー・ピアなど別のプラットフォームにもこれが拡大しつつある。考えると恐ろしいことだ。詐欺行為がカタログ通販ビジネスを大混乱に陥れた1970年代にクレジット会社がとったのと同じアプローチを、われわれも採用する必要がある」（Cassidy）

　一般的なフィッシング対策として最も重要な手段の1つが消費者の啓蒙だ。多くの場合、ネット犯罪者が作成したフィッシングメールは、本物と見分けるのが非常に難しく、Krabillの受けたMailFrontierフィッシングテストがそのことをよく物語っている。

　JPMorgan Chaseのクレジットカードサービス事業部であるChase Card ServicesのMike Cunningham（詐欺行為管理担当シニアバイスプレジデント）は、「とにかく、消費者がフィッシングなどの詐欺行為に関する知識を深めることだ。これらの攻撃を早い時点で特定し、ウェブサイトの閉鎖に向けて最善の努力を払うことは可能だが、本当に重要なのは、クレジットカード発行会社から予想される内容と犯罪者から予想される内容とを顧客に知ってもらうことだ」と語っている。

　ネットオークションサイトのeBayで広報担当を務めるHani Durzyは、同社では顧客の意識が根付き始めていると述べている。登録した顧客が利用するeBayの掲示板には、同社が情報を得るよりも先に、フィッシング攻撃が出現し始めるとその詳細が頻繁に書き込まれている、と同氏は語る。さらに、詐欺行為を積極的に報告したり、相互に情報交換をする会員も増えているという。

　「われわれのコミュニティは、情報の回覧に非常に気を配っており、正当なものか詐称かについては、相互にアドバイスや意見を交換している。ここ2年間はフィッシング行為が爆発的に増加したが、この脅威に対する意識も高まっている」（Durzy）

　eBayは、技術面ではアプリケーションを複雑に組み合わせたシステムを導入し、ユーザーアカウントの乗っ取りを示すようなサイト上の活動はすべてチェックしている。クレジットカード会社が利用する詐欺行為防止システムのように、これらのツールも、場所や入札数の大きな変化といった変則的な動きを監視している。

　さらに、eBayとPayPalの請求部門では、PayPalやeBayの名前を騙った違法行為を突きとめることを専門にする不正行為調査チームを共同で設置している。

　このような業界の取り組みや捜査当局との連携が、注目度の高いZachary Hillなどの詐欺犯の逮捕と有罪判決に結びついた。この裁判では、eBayに対する詐欺行為に関連して約4年の懲役が言い渡された。

　このような成功事例や技術向上に向けた動きがあるにもかかわらず、フィッシング攻撃を食い止めるには消費者をもっと慎重にさせるのが最善策だ、との点で専門家の意見は一致している。JPMorganのCunninghamは、不審なメッセージは削除し、個人データは絶対に送信してはならないと力説する。

　「絶対に反応してはいけない。それだけのことだ」（Cunningham）