日本情報処理開発協会(JIPDEC)主催の「ネットメディアの信頼性向上対策ワークショップ〜ここまでやりたい情報の送り手と受け手の成りすまし対策〜」が6月16日開催された。
フィッシング詐欺など、いわゆる“なりすまし”要素がある犯罪がネット上で昨今広がりを見せていることを受け、その実状と対策について専門家の立場から助言を行うことが主な目的となっている。
ワークショップの冒頭、後援する経済産業省の商務情報政策局情報セキュリティ政策室室長の山田安秀氏が登壇し、「なりすまし対策は新戦略にも政府機関として取り組んでいくことが盛り込まれたものの、実際には大したことはやっていない」と現状を説明。その上で山田氏は「ネット上のなりすましは、きちんと対策しなければ将来大きな社会問題となりうる。幼少のときからメディアの情報の真偽を見抜くための教育トレーニングが行われているが、日本は社会全体として成熟していない。急速に拡大しているネットメディアを扱った今回のようなワークショップは大変意義あるものだ」と挨拶した。
続いて、主催者のJIPDECで常務理事を勤める小林正彦氏が「ネットメディアにおけるなりすまし問題の構造」と題して講演。ネット社会におけるなりすまし犯罪の全体的な概要を解説した。
小林氏によると、なりすまし犯罪はネット社会に限った話ではないという。たとえば、消防署員を名乗った訪問販売のような古典的な手口や“オレオレ詐欺”なども、なりすまし犯罪の典型的な事例だ。
しかし、小林氏はネット上のなりすましには実社会とは異なる点があることを指摘する。たとえば、ネット上のなりすましの典型的な手口として、真正なサイトと見せかけたフィッシングサイトに誘導し、IDやパスワードを入力させる“偽ウェブサイト”、攻撃対象者を誹謗中傷するネタを仕込むための“偽ブログ”、フリーメールのアドレスを利用してSNS上に簡単になりすましキャラを作る“偽アカウント”などが挙げられるが、これは実社会には存在しないものだ。
また、目的や動機が経済犯的のみならず、政治的・怨恨的、愉快犯的である場合が多いのもネットならではの特徴だとし、「相手の真正性を見抜くためにはネットリテラシーが必要」と強調。さらに、「匿名性が尊重される場面が多いのもネット社会の属性。匿名性と担保しながら信頼性をいかに確保していくか」と今後の課題を語った。
また、「WEBサイトなりすまし問題と対策」と題して講演を行ったJPCERTコーディネーションセンターの小宮山功一朗氏(早期警戒グループリーダー)は、偽サイトによる被害例を紹介。「ポータルサイトやクレジットカード会社のサイトを模した偽サイト以外に、オンラインゲームのアカウントがアンダーグラウンドな世界では高値で取り引きされている。また、2009年末ごろからはケータイSNSの偽サイトも急増している。ケータイのブラウザはURLが表示されないので偽サイトと判別しにくいので危険」と注意を促した。
サイトの運営者側の対策として「重要情報を入力するページをSSL/TLSで保護することはもちろん、情報共有が重要。偽サイトが立ち上がったからと言ってセキュリティが脆弱ということにはならないので、ユーザーへの報告を徹底してほしい」と小宮山氏は要望している。
ブログならではのなりすまし問題について講演を行ったのは、ディアイティの河野省二氏。河野氏は、「誰でも簡単にブログを立ち上げることができ、管理者ページに簡単にログインできてしまう。手軽さゆえにアカウントを取得して放置してしまう例も多く、改竄されていても気づかない。なりすましが行われなくても、コメントが自由に書き込めるようになっていれば、ブログに悪意のあるリンクが貼られてしまう可能性がある」と指摘する。
ブログの安全な利用方法について「企業や有名人のブログはできれば独自ドメインで運用すること。しかも、co.jpなどの登録元が保証されたドメイン名ならより信頼性が高くなる。なにより、発信者側も受信者側も本人詐称やなりすまし、転載、引用の危険が伴うことを理解した上で利用すべき」と提言した。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」