日本国内でもフィッシング詐欺が目立ってきている。「ゆうちょ銀行」をかたる偽サイトや、SNSの「ミクシィ」を真似たサイトも登場しているので注意したい。(テクニカルライター・三上洋)
詐欺件数は減ったが手口は多様化フィッシング詐欺とは、銀行やクレジットカード会社などを装ってメールを送り、ユーザーの口座番号、クレジットカード番号、暗証番号などを盗み取る行為のこと。ここ数年、英語圏を中心にフィッシング詐欺が急増しているが、2007年ごろから日本での被害も目立ってきている。
2008年1月から3月までの被害レポートを、フィッシング対策協議会が発表した。フィッシング対策協議会とは、クレジットカード会社や大手ポータルサイト、ネットワーク関連団体などが参加している団体で、フィッシング詐欺の情報収集と注意喚起を目的としている。
それによると日本国内でのフィッシングサイトの報告件数は、2008年1月から3月までの3か月で34件。その前の3か月(2008年10月から12月)の54件に比べると少なくなっている。もっとも前の3か月の54件はそれまでの最高値であり、2005年ごろと比べると現在も高い水準でフィッシング詐欺が報告されている。
フィッシング対策協議会によれば、この3か月間は件数は減ったものの「変化に富んだ手口が使われている」として個別の事例を紹介している。
「ゆうちょ銀行」や「ミクシィ」を装うそれによると「ゆうちょ銀行」を装ったフィッシング詐欺が3月ごろに登場している。まずメールで「お客様へ重要なお知らせです。詳しくは下記より必ずご確認下さい。」としてフィッシング詐欺サイトへのリンクを張っている。このサイトにアクセスすると、ゆうちょ銀行そっくりのログイン画面が表示され「お客様番号」「ログインパスワード」「インターネット用暗証番号」などを入力させようとする。
もちろんこれは偽サイトで、ユーザーのお客様番号やパスワードを盗み取ることが目的の詐欺サイトだ。このサイトは日本国内の格安レンタルサーバーを利用していたが、現在は閉鎖されている。手口としては単純で、URLも偽装されていないなど初歩的な手口だが、知識のない人はダマされてしまう可能性がある。
ゆうちょ銀行では「当行からメールでお客さま番号、ログインパスワード、インターネット用暗証番号等を同時にまたは直接入力するサイトのURLをお送りすることは、一切ありません。また「ゆうちょダイレクト」のログイン画面にはインターネット用暗証番号を入力する欄はありません。このようなメールが送信されましても、リンク先Webサイトには、絶対にログインパスワード等の入力を行わないよう、ご注意願います」と呼びかけている。
またSNSのミクシィの偽サイトも登場している。このサイトは本物の「mixi(ミクシィ)」とはつづりが異なり、「mixii(ミクスィ)」という名前を利用。中身は本家にそっくりだが、サイト名が異なるという珍しいフィッシング詐欺だ。
手口としてはユーザーにSNSの招待メールを装ったものを送りつける。ミクシィなどSNSの多くは既存ユーザーからの招待で加入するシステムとなっている。この招待メールをフィッシング詐欺の導入として使っているわけだ。受け取った人がだまされて「誰からの招待かな? 見てみよう」と思ってクリックさせることが目的のようだ。
このサイトは中国のサーバーを利用しており、2008年2月ごろまでは動いていたようだが、現在は閉鎖されている。
メールのリンクはクリックしない!このほかにも「イーバンク銀行」「Yahoo!Japan」などを装った日本語のフィッシング詐欺サイトが見つかっている。日本をターゲットにしたフィッシング詐欺が目立っているので注意が必要だ。
フィッシング対策協議会では、下記のサイトで対策方法を「フィッシングに対する注意」として、まとめている。基本は「メールにあるURLアドレスはクリックしない」こと。メールにあるリンクをクリックするではなく、金融機関から書面で通知されているURLを直接打ち込んで表示させるようにしたい。●参考サイト
フィッシング対策協議会
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20080627nt0b.htm