【JAPiCO】 一般社団法人 日本個人情報管理協会



第27回 フィッシング詐欺

電子商取引の発展や生活に便利なインターネットサービスの普及によって重大な関心をもたれるようになったのは「フィッシング詐欺」と呼ばれるサイバー犯罪である。便利な道具が登場すると、犯罪者もそこに注目して新たな手口を発明してくる。健全なインターネット社会を発展させるために、こうした犯罪に対して社会全体で対応策を講じてゆかなくてはならない。

カタカナで「フィッシング」と表記するので、直感的に「魚釣り」を連想する。英語のつづりは「fishing」ではなく、「phishing」だが、これは造語である。語源的にはいろいろな説があるようだが、犯罪者がインターネットユーザーを「釣り上げて詐欺に合わせる」という趣旨が含まれているのは共通である。直感的な「魚釣り」の連想は大きく違っていない。いろいろな手段を使ってインターネットユーザーが各種サービスを利用する際に使う会員番号、アカウント、パスワード情報などを入手し、金銭を詐取するなどの犯罪に悪用するものである。

どのように詐欺のターゲットを釣り上げるのか。
代表的なのは偽メールである。ユーザーの元へ「有効期限が近付いている」「新規サービスに移行する」「システムを更新する」などの注意メールが送られてくる。その手続きのためにと称して本物サイトによく似た偽のサイトに誘導する。そこで会員制サイトや銀行カード、クレジットカードなどのIDやパスワード、本人確認のための生年月日などの個人情報を入力させる、という手口である。この情報が各種の犯罪に悪用される。

メールを使わないフィッシングも出現した。2012年ころから流行している「ポップアップ型フィッシング詐欺」である。ユーザーのパソコンに、ポップアップ画面が表示されてインターネットバンキングなどの情報を盗み取る。ポップアップを表示させるのは、あらかじめユーザーのパソコンに侵入したマルウェアの機能である。マルウェアに感染したユーザーのパソコンに偽の情報を含んだポップアップを表示して、IDやパスワード情報などを入力させる。直接、重要な個人情報を窃取できる。

この仕組みの巧妙なところは、ユーザーがインターネットバンキングなどのサービスの正規サイトにアクセスしようとする際に偽のサイトの画面がポップアップで表示させる点である。ユーザーは正規のサイトにアクセスしたと思い込んでIDやパスワードを打ち込んでしまう。実際に住信SBIネット銀行やみずほ銀行、三井住友銀行、三菱東京UFJ銀行など7つの銀行の顧客が被害にあったと報告されている。不正な引き出しに結びついたことも確認されている。

個人情報を入手した犯罪グループが直接に次の犯罪に悪用するとは限らない。個人情報を詐取した犯罪者は他の犯罪集団に販売する。こういう詐取した個人情報を売買する闇の「市場」が存在するらしい。この個人情報リストを購入した別の犯罪グループが次の犯罪に悪用する。サイバー犯罪も専門化が進み、機能が分かれていて複雑になっているようだ。
しかも、詐取された個人情報は闇市場を通じてあっという間に拡散されていろいろな専門犯罪グループに悪用される可能性がある。

もちろん、フィッシング詐欺は日本特有の犯罪ではない。米国を中心に広がって、日本では2005年ころCD−ROMを使って法人向けのインターネットバンキングのIDやパスワード情報を窃取する事件が起きた。

国際的に「フィッシング対策協議会」が発足して、日本でも2007年から活動している。

日本では2012年の不正アクセス禁止法の改定でフィッシング詐欺を対象にした条項が加わって取り締まりが強化されている。その結果、フィッシング詐欺を摘発した逮捕者が出始めた。


【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization