2005.1.25

1　フィッシング（Phishing）とは

フィッシングとは人の心理をついたハッキングの呼称で、実在の銀行やクレジットカード会社などを装って電子メールを送付し、そこからリンクされた偽造ウェブサイトにカード番号や暗証番号などを入力させるという行為を指してそう呼ばれるようになりました。人を欺いて情報を聞き出すと言う点においてソーシャルエンジニアリングの一種といえるでしょう。

日本でも平成16年11月に初めてフィッシングによる直接的な被害がは発生しましたが、米ガードナー社によると米国ではフィッシングのメールを受け取った経験のある人は5700万人を超え、騙された人の数は約180万人（被害総額24億ドル）にのぼるほど一般 的な犯罪となっています。最も多かったフィッシングは、eBayのPayPal支払サービスのユーザーをターゲットにしたもの。その他金融サービス大手のCitibankをターゲットにしたものなどがあります。

フィッシングの主な目的はクレジットカード番号などの金融情報を騙し取るところにありますが、中には特定の相手の個人情報を盗むためにフィッシングが用いられることもあります。

右の画面 は、ストーカーがヤフーのカスタマーサービスに成りすまして被害者の女性に送ってきた偽のログインページです。差出人はヤフーの正式なメールアドレスで、見た目も本物のログインページとまるで同じでした。フォームデータの送信先はヤフーのものとは異なっていましたが、女性はそこまで確認する知識を持っていなかったため、あっさりとストーカーにパスワードを通 知してしまったのです。

2.国内でのフィッシング事案

日本国内においては架空請求や不当請求が横行しておりフィッシングの実態はさほど認知されておりませんが、それでも平成16年に入ってからは徐々に広がりつつあります。今後は不当請求に代わってフィッシングが急増する可能性も十分あるでしょう。

「VISA認証サービス」を偽装し、ユーザーIDやパスワード、クレジットカード番号などを入力させようとしたページ（右図） この偽サイトはJavaScriptを使ってアドレス・バーに正規のURLを表示させていた。そのため標準設定のインターネットエクスプローラーでは偽のURLが正規のものに偽装されてしまうが、グーグルツールバーを使用していると偽サイトに仕込まれた正規のURLが欄外に表示されてしまっている （下図） ※VISA認証サービスは，インターネット決済の利用者がカード会員本人であるかどうかを確認するための認証サービス。

右の画面は、ヤフーオークションのカスタマーサービスに成りすまして送信されてきたHTMLメールに埋め込まれていた偽の「Yahoo! JAPAN ID検索/パスワード再発行」画面。 クレジットカード番号や暗証番号の入力も要求している。

3.海外のフィッシング事案

海外、特に米国では早くからフィッシングの手口が登場しており被害金額も相当に上っている。最近では戦争や災害の義援金を名目としたフィッシングが主流となってきており、インターネットによる支払いサービスの整備において日本との違いが伺える。

2005年1月15日に米国赤十字のWebページをかたったフィッシング詐欺サイトが現れた。偽サイトは<www.american-redcross.org>のドメインを使い、スマトラ沖津波被害者への寄付を募り、寄付をしようとする人のクレジットカード番号などの個人情報を盗み出そうとしていた模様。正しい米国赤十字のサイトは、<www.redcross.org>。 偽サイトでは、クレジットカード番号だけではなく、PINコード（4桁の暗証番号）までも求めていた。 スマトラ沖津波に便乗して詐欺をしかける不正なWebサイトは133にも上る見られる。

NEXT PAGE