ネットが使えなくなる日
氾濫するスパム/フィッシング

英国4大銀行の一つであるナットウエストで昨年11 月、“事件”が起きた。「他行への振込をご希望のお客様は、インターネット・バンキングを利用せず、電話にてお問い合わせください」といったメッセージをWeb サイトに掲載。事実上、ネット経由の振込サービスを停止したのである。
原因は、同行の名前をかたって口座番号や暗証番号を盗み出す、いわゆる「フィッシング(釣り)」を目的としたメールが大量に出回ったこと。メールを見た顧客が誘導文にしたがって偽のWeb サイトにアクセスすると、個人情報を詐取され、預金の不正引き出しなどの被害に遭いかねない。本誌の問い合わせに対して同行は、「サービスの停止は顧客満足度の低下や機会損失を招くかもしれない。それでも、顧客を守るためには、やむを得なかった」(広報のデビット・オースワイト氏)と説明する――。
社会インフラとして定着したインターネットの“便利さ”が、フィッシングやスパム・メールによって失われようとしている。
米ガートナーの調査によれば、米国におけるフィッシング被害の総額は、2003 年4 月~翌年3 月の1 年間で12 億ドル。1 ドル105 円換算で1260 億円に上った。フィッシング対策の検討などを行っている業界団体は、今年2 月に作られたフィッシング用の偽サイトは3300 で、昨年12 月の約2 倍と発表した。これだけ詐欺が横行すると、利用者はインターネットを安心して使うことができない。ナットウエストのように、ビジネスを止めざるを得ない事態に追い込まれる企業も出てくる。
未承諾広告を送りつけたりするスパム・メールのビジネスへの影響も大きい。昨年夏、国内のISP(インターネット接続事業者)でメールの遅配騒ぎが起きたのは、大量のスパムが配信されたためだった。
こうしたインターネットの“闇”がこのまま広がれば、いずれインターネットが崩壊しかねない。そこで本特集では、日本のスパム/フィッシングの実情を明らかにする。
まず「被害」編で、UFJ 銀行、ニフティなど、国内で実際に起きた事件を紹介する。そのうえで、「フィッシング」編で、URL の偽装にとどまらない最新の悪質な手口を、「スパム・メール」編では、世界的に広がるボットの脅威と、スパム対策が弊害を生んでいる状況を示す。「国際協調」編では、米国での取材を基に、対策面で世界から取り残される日本の実態をレポートする。 (河井保博、福田崇男)

2005年8月8日

【被害】
ついに日本に本格上陸 銀行やISPに忍び寄る危機

これまでは対岸の火事だったフィッシングやスパム・メールの被害が、ついに日本に上陸ビジネスに深刻な影を落としている。フィッシング・メールが大量に出回ったり、数百万通という膨大なスパムによってメール遅配に陥るなど被害が後を絶たない。まず昨年から今年にかけて国内で起きた四つの事件を紹介しよう。

【UFJ銀行】海外に複数の偽Webサイト

 3月14 日、21 時30 分過ぎ。UFJ銀行のリテール業務部に1 本の緊急電話が入った。「UFJ 銀行から不 審なメールが届いたという問い合わせが殺到しています」。コールセンターのオペレータは開口一番、こう告げた。

 メールの内容は、セキュリティ向上のために本人確認したいというもの(図1)。「フィッシングだ」。電話を受けた鷹野公義リテール業務部次長は、ピンと来た。昨年からUFJ 銀行を詐称したフィッシング/スパム・メールが散見されていたが、今回は、2 ~ 3 時間の間に数十件の問い合わせがあるという大規模なものだ。鷹野次長は早速、メールの内容や偽サイトなどの情報収集に取り掛かった。

図1 3月14日に国内で初めて、大手銀行の顧客を狙ったフィッシング・メールが大量に出回った 【クリックで拡大】

 朝までには、いくつもの偽サイトの存在を確認。「すぐに手を打つべき」と判断し、翌朝の始業30 分前にはリテール部門の主要メンバーを招集した。広報部とも相談したうえで11 時にはWebサイトで情報公開すると同時に、問い合わせに回答する体制を整えた。一方で、金融庁と警察当局に報告。 警察、不正アクセスの情報を収集しているJPCERT/CC(※1)と共同で偽サイトの所在把握と停止要請に動いた。

 偽サイトがあった各国のISP にサイトの停止を要請し、15 日のうちに韓国とポーランドの偽サイトを閉鎖させることができた。最後に残った偽サイトも、ウルグアイのISP が運営するアルゼンチンのデータセンターにあることを突き止め、同様にして、16 日には停止に追い込んだ。

 最終的に顧客からの問い合わせは、メールの内容を伝える情報提供を含めて約1000 件。金銭的な被害の報告はないが、数十人の顧客は偽サイトに個人情報を記入してしまった。

 この事件、UFJ 銀行には落ち度はなくとも、被害者から見れば「“UFJ 銀行からのメール”が発端」である。同行のように「とにかく注意喚起して被害を最少限に食い止めるべき」と動かなければ、「顧客を守れない金融機関」というレッテルを貼られかねない。 同行では、偽サイトに個人情報を記入してしまった顧客にインターネット・バンキングのログイン・パスワードを再発行すると同時に、クレジットカードの再発行手続きを促した。

 UFJ 銀行ほどの規模ではないが、他の例は枚挙に暇がない。上記の事態の1週間前の3 月9 日には、みずほ銀行 にもフィッシング・メールについての問い合わせが1 件入っている。 インターネット専業銀行のイーバンク銀行も昨年11 月、狙われた。顧客からの連絡を受けて調査したところ、「あわや他行口座に資金が移動されるという寸前で不正な取引を見つけ、止めた」(早川一はじめシステム本部長)。

※1 インターネットを介した不正アクセスに関する情報を収集・公開する組織。ソフトウエアのぜい弱性について分析・警告するほか、警察やIPA(情報処理推進機構)などと連携してサイバー犯罪の調査を実施する。

SAFETY JAPAN メール

日経BP社の書籍購入や雑誌の定期購読は、便利な日経BP書店で。オンラインで24時間承っています。