「PSXが当たりました!今すぐ下記のサイトにアクセスして、あなたの住所を入力してください」「システム利用料が未納です。下記のサイトでユーザーIDとパスワードを入力して利用明細をご確認ください」――。
このようなメールで偽のWebサイトに誘導し、ユーザーに個人情報を入力させるオンライン詐欺が国内で話題になり始めている。「フィッシング(phishing)」と呼ばれるオンライン詐欺である。
冒頭の前者はソニー(http://www.sony.co.jp/SonyInfo/News/ServiceArea/040618/)を、後者はヤフー(http://docs.yahoo.co.jp/info/notice10.html)をかたってユーザーをあるサイトへ誘導する。いずれのメールも真っ赤な偽物。メールで誘導されたサイトも当然偽物であり、入力した個人情報は悪意のある人物に盗まれることになる…。
| ■偽メールでユーザーを“釣り上げる” |
2003年以降、米国ではフィッシングが大きな問題になっている。フィッシングの目的は、クレジットカード番号やパスワードといった、ユーザーの個人情報を盗むことである。盗まれた個人情報は当然悪用される。フィッシングの基本的な手口は以下の通り。
まず、フィッシングを試みる人物(“フィッシャー”などと呼ばれる)は、不特定多数のユーザーに向けて、有名企業からのものに見せかけたメールを送信する。メール中には、ユーザーを特定のサイトに誘導する本文が書かれている。米国で多いのは、「すぐに手続きをしないと、あなたのアカウントが失効します。失効すると、オンラインサービスを利用できなくなります」と脅かすフィッシングメールである(左下の画面)。
ユーザーが慌ててメール中のリンクをクリックすると、その有名企業そっくりの偽ページが表示される(右下の画面)。ユーザーを信用させるために、偽ページのバックグラウンドに、本物のページを表示させる場合もある。表示された偽ページに個人情報を入力すると、その情報はフィッシャーに送信される。
 |
 |
| ▲ 米Citibankをかたって、偽サイトに誘導しようとするメールの例。「アカウントを確認するために、下記のリンクをクリックして、要求された情報を入力してください。さもないとアカウントが失効します」と書かれている。本文中のURLは本物だが、偽サイトへのリンクが仕込まれているので、クリックすると偽サイトへ誘導される | ▲ 左の画面でリンクをクリックすると、このサイトに誘導される。本物のサイトに置かれた画像を使い、本物そっくりの見た目になっている。また、本当のURLが分からないように、アドレスバーを非表示にしている |
| ■「メールの送信者名」や「Webサイトの見た目」への過信を悪用 |
フィッシングを“成功”させるには、ユーザーに(1)「偽メールの送信元を有名企業に思わせる」、(2)「偽メール中に記載したリンクを、有名企業のサイトへ誘導するものだと思わせる」、(3)「誘導されたサイトを、有名企業のサイトだと思わせる」――必要がある。これだけの条件を満たすのは難しそうだが、実際にはそれほど難しくはない。というのも、「見た目」による過信を悪用するからだ。
