 |
Security&Trust トレンド解説
フィッシング詐欺対策として企業が負うべき責任
〜電子署名はフィッシング詐欺対策の切り札となるか
岡田大助
2004/12/28
 |
日本語のフィッシング詐欺メール登場 |
IT業界流行語大賞2004年版があるならば「フィッシング詐欺」は間違いなくノミネートされるだろう。最近では、IT系のメディアのみならず、一般向けの週刊誌などでも関連記事が掲載されるようになった。
フィッシング詐欺とは、金融機関や有名なポータルサイトの名前をかたり、本物そっくりに偽装したメールやWebサイトにユーザーを誘導し、個人情報やパスワード、クレジットカード番号などを盗み取るサイバー犯罪だ(詳細は【いまさらフィッシング詐欺にだまされないために】を参考にしていただきたい)。
フィッシング詐欺の多くは英文メールである。そのため、米国では社会問題として大きく取り上げられているが、日本では「オレオレ詐欺(振り込め詐欺)」ほど取り上げられていない。一説によれば、フィッシング詐欺の元締めはロシアや東欧のマフィアだといわれている。そのようなやからは「ゴルゴ13」の世界でのみ、おなじみの存在でいてほしいと思う。
しかし(いや、「ついに」というべきか)、2004年10月ごろから日本語のフィッシングメールが流れだした。もっとも、英文を機械翻訳で日本語に直したような読むに堪えない文章であり、これに引っ掛かるユーザーはいないだろうといったレベルだ。だが、フィッシャー(フィッシング詐欺犯人)が「金になる」と判断すれば、いずれ日本語に堪能なスタッフを引き入れて、日本語力を向上させるだろう。
|
企業がすべき努力、ユーザーが背負うリスク |
フィッシング詐欺のターゲットとされた企業も手をこまぬいて黙っているわけではない。それぞれのWebサイト上で、「フィッシング詐欺メールにだまされないように」という呼び掛けを行っている。その内容は、フィッシング詐欺メールの文面の紹介や、簡単な自衛のためのチェック項目などだ。
ほとんどの告知ページでチェック項目として挙げられているのが、Webブラウザのアドレスバーやステータスバーに表示されているURLが正しいものかどうかを確認するようにというものだ。残念ながら、この方法はURLが偽装されている可能性が否定できず、決定的な解決法とはいえない。
また、「弊社からお客さまの情報を聞き出すようなメールは差し上げておりません」といった注意書きも見られる。しかし、だまされるのはフィッシング詐欺を知らないユーザーであり、果たして彼らがフィッシング詐欺対策のページを事前に読んでいるだろうか。
このような啓もうページに意味がないとは思わない。だが、実際にリスクを負っているのはユーザーであり、企業のスタンスは「フィッシング詐欺対策はユーザーの自衛が第一」と丸投げになってはいないだろうか。うがった見方をすれば、万が一詐欺が発生したとしても、これらの啓もうページを“免罪符”としてすり抜けようとしてはいないだろうか。
2004年11月29日、フィッシング詐欺に向けて企業が負うべき責任に先鞭(せんべん)をつけたと評価できるプレスリリースが配信されてきた。消費者金融の巨人である武富士が、外部への送信メールすべてに電子署名を実装すると発表したのだ。
現時点で武富士をかたったフィッシング詐欺は発生していない。それにもかかわらず全社的にPKIソリューションを導入した武富士の狙いは何なのか。また、識者はフィッシング詐欺に対して電子署名は有効であると指摘していたが、なかなか導入が進まなかった。そこにはどのような障壁があったのか。
次のページから、武富士の情報システム部へのインタビューを紹介したい。今回は、武富士の取締役執行役員で情報システム部長の高瀬逸穂氏と、同部係長の井上和義氏にお話を伺った。
1/3 |
|
| Index | |
| フィッシング詐欺対策として企業が負うべき責任 | |
 |
Page1 日本語のフィッシング詐欺メール登場 企業がすべき努力、ユーザーが背負うリスク |
| Page2 「電子署名がないメール=いかがわしいメール」となるか 電子署名導入は本当にコストが掛かるのか |
|
| Page3 課題は山積みだが、第一歩を評価したい フィッシング詐欺対策として電子署名が受け入れられるか |
|
| 関連記事 |
| いまさらフィッシング詐欺にだまされないために |
| S/MIMEでセキュアな電子メール環境をつくる! |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
