迫り来るフィッシングのわな

　Steve Krabillというオクラホマ州在住の33才のエンジニアは、フィッシング詐欺を避けるための至って簡単な方法があると考えている。その方法とは「だれも信じない」ことだ。

　フィッシング詐欺の実例も含まれた10種類のメールをオンラインテストで見せられた同氏は、そのすべてを偽物と判断した。実際のところ3通は本物だったが、どちらにしてもこのエンジニアは自分の答えに合格点をつけた。

　Osborn Engineering（本社：オクラホマ州タルサ）という金属リサイクル機器メーカーに勤務するKrabillは、「自分がネットで取引する企業は、メールで個人情報など聞いてこない。単純なことだ。返信しなければ詐欺に遭わないことも分かっている」と語る。

　フィッシングは、世界で最も急速に増加している個人を対象にした詐欺行為の1つだ。消費者が最大の被害者であることは明らかだが、被害はそれだけにとどまらず、企業の財務や評判にも打撃を与えており、電子商取引の安全性に対する消費者の信頼に傷が付く可能性まである。

　セキュリティソフトベンダーSymantecのKim Legelis（産業ソリューション担当ディレクター）は、「フィッシングの犯人は、詐欺の目的でブランドを乗っ取っり、これらのブランドに対する消費者の信頼を低下させてしまう。その点でフィッシングは、ネット上のほかの脅威と異なっている」と語る。

　詐欺犯は通常、銀行やeコマースサイトなど、信頼できる企業の名を騙ったメールを送りつける。フィッシングのメッセージは、受信者を偽のウェブサイトにおびき寄せ、そこで機密性の高い個人情報を入力させようとする。そして、攻撃者がこれらの詳細な情報を悪用し、被害者の口座から現金を盗み出す、という仕組みだ。

　ネットのプライバシーを監視するTrusteの報告によると、ネット利用者の10人中7人がフィッシングメールを受け取った経験があり、その中の15％がだまされて個人情報を渡してしまったという。

　またAnti-Phishing Working Group（APWG）の調査によると、これらの詐欺行為の矢面に立たされてきたのが金融業界で、最も狙われているのがCitibank、eBayの子会社でオンライン決済業務を展開するPaypalなどのネット企業、そしてGoogleのGmailだという。

　「多くの金融サービス企業や電子商取引プロバイダー各社にとって、ウェブが新規ビジネスの獲得や売上拡大、顧客へのサービスコスト削減のための極めて重要なチャネルであるのは間違いない。もし、消費者がこのチャネルを信頼しなくなれば、これらの事業は広範なマイナスの影響を被ることになる」（Legelis）

　企業各社は、膨大な資金を投じてフィッシングで受けた被害の回復に務めており、顧客の損失を補填するケースも多い。詐欺行為防止を顧客に訴える啓蒙活動にも予算が割り当てられているほか、汚されたブランドイメージを回復させるための費用は計り知れない額になる。

　ビジネスに対する脅威となれば、膨大な金額が投じられることになる。メールセキュリティ会社のMailFrontierが先ごろ実施した調査によると、調査対象になった米国の消費者の40％が、銀行やクレジットカード会社は個人情報の盗難に対する対策の優れた方に乗り換えると回答している。また、94％はフィッシングなどの詐欺行為対策は金融機関側の責任だとし、52％はプロバイダーの情報保護対策が不十分だと回答している。

　フィッシングによって発生するさまざまな問題には、簡単な解決策はない。啓蒙活動を行えば顧客がKrabillのように慎重になると期待する企業もあれば、正当なメールと詐欺行為を切り分けるため、アドレス確認スキーマやソフトウェアフィルタなどの技術ソリューション投入に望みを託す企業もある。

　ITおよびeコマース業界全体の協力から、フィッシングに対抗する業界団体が多数生まれている。その1つが、信用調査会社のExperian、ソフトウェア最大手のMicrosoft、そしてクレジットカード大手のVisaなどから専門家が集まったAPWGだ。