フィッシング詐欺メールの95％は偽造アドレスから送信--米調査

　5月に報告された「フィッシング」と呼ばれる詐欺メールのおよそ95％は偽造アドレスから発信されていたことが、フィッシング対策の業界団体Anti-Phishing Working Group（APWG）の最新の調査で明らかになった。APWGは、電子メール認証の標準規格を策定すれば、このような卑劣な攻撃の脅威の軽減につながる可能性が高いと主張する。

　フィッシング攻撃は、ユーザーを偽の企業サイトに誘い込み、そこで個人情報を入力させるという手口で行なわれる。報告によると、そのような詐欺メールを受け取った人のおよそ5％が、クレジットカード番号、アカウントユーザー名、パスワードといった重要情報を開示してしまい、後になってID窃盗や金銭的損失が発覚するという。フィッシングはここ数カ月の間に重大な脅威となった。

　しかし、APWGがTumbleweed Communicationsの技術協力を得て行なった調査によると、5月に新たに発生したフィッシング攻撃の件数は前月比でわずか6％しか増えていなかった。フィッシング攻撃の新規発生件数は4月が1125件だったのに対し、5月は1197件だった。5月に新たに行なわれた攻撃のうち、848件は金融サービス部門を狙ったものだった。

　APWGのDave Jevans会長は声明の中で次のように述べた。「フィッシングおよび、スパムやウイルスといった他のメール攻撃の弱点の1つは、真の送信者の身元を隠すために、偽造された“送信者”欄のアドレスを利用していている点だ」

　メール送信者の身元確認を行なうための最新技術の仕様は様々だが、それらの技術によって、そのような詐欺メールを顧客に届かないようにすることは可能だ。

　Yahoo、Microsoft、EarthLink、America Online、British Telecom、Comcastといった大手インターネットサービスプロバイダ数社は先週、スパム対策の新たな技術的ガイドラインを策定するために手を組んだ。EarthLinkはすでにフィッシング対策ソフトの導入に向け取り組んでいる。