情報セキュリティを脅かすフィッシング

ITUは1位オランダ(88.87%)、2位ノルウェー(87.76%)、3位ニュージーランド(78.77%)の順としている。e-Japanを推進した日本は戦略的に普及を図っているはずだが、諸外国と比べれば決して高いランクではなくネットの普及戦略で問題がないとは言えない。

比較のために新聞購読の家庭に於ける普及率をみて見ると業界団体の「広告担当ドットコム」が示す新聞普及率は、読売、朝日、毎日、日経を加算して全国データは40.06% である。よって結論は、普及率に於いて日本でもネットが新聞に勝ってきた。こうなると広告を新聞よりもネットに出稿する方が製品やサービスを広くアッピールできるはずである。ネット広告の雄であるグーグル社は早くからそのビジネスモデルを開拓し急成長した。サスガと言わざるを得ない。

ここまでネットが愛される道程には半導体の貢献が大きく存在する。LSIの応用として日本がリードした電卓から始まりMPU、即ちマイクロプロセッサーが発明された。PCが爆発的に普及しインターネット網がアッと言う間に広まった。そしてネットは金融決済のように情報セキュリティを最重要視する分野にも広く使われるようになった。

この情勢を見た政治家は世界と同じ歩調で「預金者保護法」を平成17年8月に成立させた。預金者保護法の成立を知る人は残念ながら少ない。当時の国民は郵政民営化にもっと注目したからだ。この法律のお蔭で盗難もしくは偽造キャッシュカード、クレジットカードの不正利用によるATMでの引き出しや借り入れが行われた場合、過失がなかったことを証明する義務が預金者側に求められることは法的になくなった。

しかし、預金者保護法で安心できない。なぜなら犯罪者は新たな手段を使い始めたからだ。名づけてフィッシング（Phishing）という新手の詐欺で新しい言葉も作られた。即ち、最近までPhishingと言う英語はどの辞書にもなかった。この言葉は、Fishing、即ち魚釣りに譬えている。趣味などの魚釣りは餌を使って魚を釣り上げる。一方、ネット詐欺のPhishingではインターネット上に餌を仕掛け無心の利用者を引っかける悪質なものだ。

フィッシングは、金融機関などからの正規のメールやWebサイトを装い、口座番号や暗証番号もしくはクレジットカード番号などを盗む詐欺だ。代表的な手口によると、メールの送信者名を金融機関の窓口などのアドレスに偽装したメールを無差別に送りつけ、本文には個人情報を入力するよう促す案内文とWebページへの偽（にせ）リンクが載っている。

曰く、「あなたの個人情報がリークした恐れがあります。従ってあなたの口座を凍結します。問題を至急解決するのであなた様が暗証番号とパスワードを変更する必要が出てきました……」。ただしこれは真っ赤な嘘だ。知らずに言われた通りにこのリンクをクリックするとその金融機関のWebサイトに酷似した偽サイトに飛んでしまう。真正なロゴを盗用して偽サイトを作る等、今日のディジタル技術で誰でもできてしまう。そして、個人情報入力用のポップアップウィンドウが表示される。あなたがこの段階で、詐欺に気が付けばラッキーだ。

日銀の調査では、幸い日本のフィッシング被害は最近でも数億円で敢えて多いとは言えない。ネットを使う日本人は賢いのだろう。米国ではフィッシングの07年の被害額が約3200億円で日本の500倍強にもなるのだ。なぜ、日米違うのか？これには諸説あって、1)フィッシング犯罪者は外人が多く日本語の壁がある、2)日本ではオレオレ詐欺やオークション詐欺があってそれらが手軽なのでフィッシングまではやらない、などと言われているが、もちろん真の理由は確かではない。フィッシングをやるには意外にも組織化が必要だ。

フィッシング詐欺犯は以下のように分業をしていると想像される。大量のメールアドレス収集作業、偽Webサイトの作成行為、なりすまし犯になって大量な電子メールを発信する行為、そして得られた個人情報を闇で販売する犯罪行為等々であろう。

これらの詐欺に騙されない有効な手立てがない訳ではない。仮に個人情報が盗まれても金融機関で詐取が行われなければ次善の策だが防止できる。それが2要素認証だ。2要素認証とは暗証番号、パスワード等の他に犯罪者が盗めない手段を加えて使う認証方法である。顔、掌型、網膜、虹彩、指紋および静脈等の個人の体の一つの特徴をディジタル化して使う。これらの2要素が完全に一致して初めて本人が確認される、とする。

上記のように半導体がインターネットを産んで生活の利便性は格段に増したが、その光の影は深刻に暗い。その闇の中で被害に逢わないようにしなくてはならない。