最近続発している、英国の大手銀行の顧客を狙った詐欺事件を受けて、英国警察当局は、企業に対して「なりすまし」のリスクについて認識を高める必要があると警告を発した。
先月、NatWest、Lloyds TSB、Barclays、Citibank、Halifaxの各銀行で、各々のインターネットバンキング利用者にある電子メールが届いた。利用者の目には、口座を持っている銀行から来たように見えるその電子メールには、銀行公式サイトに模した偽造サイトに利用者を導くためのリンクが貼られていた。そして、さらにその偽造サイトは、利用者のユーザー名とパスワードを聞き出すためにつくられたものだった。
英国国家犯罪情報局(NCIS)は、英国の司法当局と連携して組織犯罪と戦っている。そのNCISが、増加中のこの手の事件を懸念している。ほとんどの一般ユーザーは、偽造メールや偽造サイトを本物と区別できるほどコンピュータを理解していないからだ。コンピュータやネットに関する教育が不足しているため、犯罪組織が口座への侵入を企てて、インターネットバンキングの利用者を標的とすることは比較的容易だという。
NCISの報道官は、「自社のなりすまし」が発生する確率を下げるため、各銀行が対策を講じるべきだと述べている。なお、この人物は、将来電子メール詐欺で名前を使用されるのを避けるため、自分の名前を伏せて報道することを求めていた。
「なりすまし」に対する基本的な予防措置として、各社が手始めにできることは、社名を使ったあらゆる組合せのドメイン名を手に入れることだ。たとえば、「barclays-banking.com」というアドレスを使ったサイトからのメールを受信したり、そのサイトに誘導されたりした場合、ユーザーはこれは本物だと信じるかもしれない。しかし、Barclaysはそのアドレスを持っていないし、この記事が書かれている時点では、誰にでもこのアドレスを買うことができる。同様に、Lloyds TBSは「lloydstsb.co.uk」を持っているが、「lloydstsb-bank.co.uk」は持っていない。後者は今後Phishing(偽造メール詐欺)に簡単に利用される可能性がある。
NCISの報道官は、ZDNetUKに対して、ユーザーは郵便システムと同じくらいは電子メールシステムについての知識を持つことが必要だと語った。「切手にはミシン目が入っていることや、業務用封筒の外見的特長については皆が知っている。だから、もし企業から届いた封筒が手書きだったら『ちょっとおかしいぞ』と考える。ところが電子メールの場合は、異常を知らせる目印があるのに、皆はその目印の見つけ方をまだ習得していない」(同報道官)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス