フィッシング詐欺に関する警告が広く発せられてから数年が経つが、未だフィッシング詐欺の被害に遭う人が後を絶たない。その原因について、米国の3名の研究者が論文を発表した。
多くの人が、銀行などのオンラインサービスを名乗る電子メールを受信している。その内容は、受信者が顧客となっている銀行もしくはサービスで必要な個人情報や財務情報を求めるものが多い。しかし、そのような電子メールを受け取った場合、多くの人は用心が必要だとは思っている。
ハーバード大学のRachna Dhamija氏およびカリフォルニア大学バークレイ校のMarti Hearst氏とJ.D. Tygar氏は、「Why Phishing Works(なぜフィッシング詐欺が上手くいくのか)」という論文(PDFファイル)の作成を目的に、少人数のユーザーを対象に実験をした。そして、電子メールの真偽を判定する際、被験者の90%が巧妙に作られたフィッシング目的の電子メールを見破ることができなかったという結果を得た。
同様に、電子商取引およびオンラインバンキングはフィッシング詐欺により損なわれた顧客の信頼を回復することができるかという点で見た場合、多くの被験者が本物の電子メールを見分けることができなかったことになり、慎重な消費者がそのようなオンラインサービスの利用を避けるようになる可能性を示唆している。
両氏らは、偽のBank Of the Westの電子メールを本物そっくりに作成した。そのメールの受信者は、フィッシング目的のウェブサイトwww.bankofthevvest.com(wではなくvが2つになっている)に行くよう仕向けられている。同サイトでは、南京錠や偽のVeriSignのロゴ、証明書有効印、消費者にセキュリティ上の注意を喚起するポップアップ形式の警告までも用意されていた。91%の被験者がそのページを見て本物と回答した。
また、本物のE*Tradeの電子メールを使った実験も行った。そのメールの受信者は、正規の安全なサイトに行くよう仕向けられているが、そのサイトはモバイルブラウザ用に最適化された画像のない単純なデザインだった。その結果、77%の被験者が偽物と回答した。
多くの消費者がフィッシング詐欺に陥る理由の1つに、不注意により罠にはまってしまうということが挙げられる。被験者のおよそ4分の1がアドレスバー、ステイタスバーあるいはフィッシング詐欺サイトを知らせるセキュリティ警告を見ていなかった。
このような場合、例えば、表示されるHTMLの身元を隠すため、電子メール内でURLの「l」を数字の「1」や大文字の「I」に置き換えるなど、本物のURLと1文字だけ違う偽のURLを悪用するフィッシング詐欺の標的になりやすい。
さらに、多くのユーザーはドメイン名の構文を理解していないと論文は指摘し、「彼らはwww.ebay-members-security.comをwww.ebay.comに属しているものと考えている」と述べる。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」