ユーザーをオンライン詐欺に誘導する、悪しき慣習

2010/10/13

「インターネットは全体的に良心を重んじる世界で、かつてユーザーを騙した悪巧みに対して今は『その手には乗らない』という共通認識がある」と、一般的には思われています。しかし残念ながら、インターネットの世界に入ってきたばかりのユーザーは、これまで蓄積されてきた知恵を画面から吸収する術を、まだ持ってはいません。初めてインターネットにログインするというユーザーはいまでも驚くほど多いし、安価なブロードバンドの出現により、インターネットを日常生活に不可欠な道具として様々な用途に使い始める学校や会社、家庭が増え続けています。このような状況に対し、犯罪者たちはこれまで以上に知恵を働かせ、新たな手段でユーザーを騙そうとしています。オンラインの世界に長年慣れ親しんできたユーザーでさえ、新たな攻撃手段に気付くのが困難なときもあります。

オンライン詐欺の犯罪組織が拡大する中、いわゆる常識はごく一部にしか通用しません。米国連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)によると、オンライン詐欺の被害届け件数は、2000年時と比較して、約15倍にも増加しています。届け出のあったもののうち、「Nigerian 419 scams」(ナイジェリア詐欺)をはじめ、常識を働かせれば防げるものは、全体のわずか1%に過ぎません。その一方で、急増しているオンライン詐欺の筆頭は、フィッシング詐欺です。FBIは、フィッシングがメール関連詐欺の中で「最大の被害」を与え、個人の身元に関する情報、例えばクレジットカード番号や社会保障番号、あるいは身元詐称に使えるようなその他情報などを、不当に取得するとしています。フィッシングは巧妙なトリックでターゲットを騙し、銀行やクレジットカード会社のWebサイトにログインするよう誘導します。そしてその誘導先のWebサイトが、個人情報を盗み出すための偽サイトなのです。

オンライン詐欺や身元詐称といった犯罪は、増加の一途をたどっています。IC3に寄せられた届け出の被害総額は約3億ドルにのぼっており、年々過去最高額を達成しています。一方、届け出件数は、特に大きな変動はありません。このデータから、犯罪の手口が巧妙化しており、従来よりも手間をかけずに、より多くの金をだまし取っている状況が浮かび上がります。

さらに、これら詐欺行為の32%がWebサイト経由、73%がメール経由となっています。ハッキングあるいは無償ホスティングサービスを利用して、フィッシングサイト用キット導入済みWebサーバーを数百台用意し、数百万通のメールを送り付け、何の疑いも持たないごく少数のターゲットを罠にかける行為には、それほどコストはかかりません。セキュリティの専門家なら偽Webサイトを見破ることもできると思いますが、平均的なユーザーはごく限られた直感で偽物かどうか判断するしか方法はありません。

Webサイトをアクセスする際には、いくつか常識的なルールを当てはめてみることを推奨します。最も有効なのは「アドレスバーに表示されているURLは、自分が取引している金融機関のものか」と、一度問い直すことです。この基本ルールを適用するだけで、フィッシング攻撃の大半を防ぐことが可能です。誤ったルールに従うのは非常に危険です。犯罪者から「Webサイトは安全です」「メールのリンクは間違いありません」などと返信メールが届くのも珍しくはなく、結局はいくつかの悪しき慣習に誘導されてしまいます。

犯罪者たちは、ターゲットの裏をかこうと積極的に罠を仕掛けてきます。その一方で、金融機関そのものがこれら犯罪を生み出すもう一つの要因となっています。フィッシングサイトの手口など、何年も前に判明しているのに関わらず、銀行やクレジットカード会社の多くが、顧客の常識を損なうような条件を定めることで、悪しき慣習に導いているのが現状です。悪意はありませんが、Web管理者はフィッシングに関する注意を完全に怠っているといえるでしょう。金融機関の悪しき慣習を以下に示します。

クリッカブルリンク

クリッカブルリンクが悪用されると以前から判明しているのにも関わらず、合法的なWebサイトの多くがいまだにクリッカブルリンク入りメールを顧客に送付しています。メールに正しいWebサイトのURLを表示しつつ、実際にはクリックで攻撃者の偽サイトに誘導する、という偽装が可能であるため、クリッカブルリンクは当初からフィッシング犯罪者たちに悪用されてきました。

メール内のリンクをクリックするよう求められると、顧客はこのような詐欺に騙され、結果的にアドレスバナーのURLを無視してしまいます。

企業からメールを送信する場合、メール内のリンクをクリックするよう指示するのではなく、Webサイトにアクセスするよう指示するべきです。URLを提示するのであれば、プレーンテキストで簡潔に表示することを推奨します。

リンクの貼り付け

クリッカブルリンクと同じくらい危険性が高いのは、Webブラウザにリンクをコピー&ペーストさせる慣習です。これも個人データを盗み出すために攻撃者たちがよく使う手法です。その多くは単に「www」またはプロトコル表記の「http://」を取り除いたURLを記載することで、URLフィルタリングをくぐり抜けてしまいます。このような方法より、受信者はリンクがクリックできないため有効だと考えてしまいます。また、受信者が実際にURLを確認するのを阻止することにも繋がってくるでしょう。

企業が送信するメールには、コピー&ペーストが必要になるような複雑なURLを記載してはなりません。Webサイトの代表的なURLのみを記載すれば、顧客はこのURLがその企業のものだと識別することができるでしょう。

複数あるサインイン用ドメイン

顧客が正当なWebサイトを識別するには、アドレスバーのURLを照合するしか方法がありません。現実的には、大手銀行の多くが複数のドメインを利用するという失策を犯しています。Webサイトの運営を他社に委託しているせいで、外部のURLからサインインさせるところさえあります。これは顧客を混乱させると同時に、アドレスバーに表示されたURLを無視するよう仕向けるようなものです。顧客は表示されているURLが正しいかどうかは決して知ることはできないでしょう。

サインイン用ページを統一し、ドメイン名は顧客が識別できるよう一つに限定することを推奨します。これにより、「企業の登録ドメインはどれか」などの混乱を避けることができます。大抵の顧客は、ドメインの検索方法を知らないでしょう。

複数あるサインイン用ページ

サインイン用ドメインが複数あることに加え、アカウントの種類ごとに異なるサインイン用ページでログインさせる、あるいはナビゲート先に応じて別のサインイン用ページを提示する企業が多くあります。ユーザーはWebサイトのルック&フィールを気にせずに、本来ならば気付いたはずの偽Webサイトとの違いを見逃してしまうでしょう。

Webサイトが「本物のように見えるかどうか」を、判断基準とすべきでは決してありません。ただ、サインイン用ページでレイアウトやブランド表示への注意が散漫になれば、罠にはまる可能性は高くなるでしょう。サインイン用ページを一つにまとめるだけで、顧客が偽Webサイトに気付く可能性も生まれてきます。また、サインイン用ページは顧客が馴染みやすいよう簡単なURLとし、Webサイトのその他ページを全て同ページにリンクさせる必要があります。

ログイン処理によるアカウント確認

攻撃者たちは長い間、様々な手法で不安をあおることで、ターゲットを騙してログインさせ、アカウント情報を確認させてきました。このような詐欺の一例は、「口座が詐欺被害を受けている可能性がある」、「一時停止状態となっている」、「口座のロックを解除するため個人情報を確認する必要がある」といった通知を利用しています。いずれの場合もターゲットに対して、早急にログインするよう求めてきます。

このような切迫した状況に置かれると、通常なら働く常識が効かなくなってしまうでしょう。企業が詐欺と同様の通知方法を採用すると、顧客が習慣的にこうした緊急通知に反応するパターンができてしまい、偽物にひっかかる可能性が高くなります。口座を凍結するような緊急性の高い通知なら電話で連絡し、連絡してきた企業の存在を確認できる手続きが欠かせません。メールで緊急のメッセージを送信するのは、トラブルを招くだけでしょう。

セキュリティイメージ

顧客のプロフィール作成時にテディベアや列車など、好きな画像をセキュリティイメージとして選ばせ、ログイン画面に同じ画像が表示されれば安全、とするWebサイトは多くあります。フィッシング詐欺は非常に複雑化しており、攻撃者たちのWebサイトは、合法的なWebサイトの代役を簡単に果たすことができます。セキュリティイメージを表示する攻撃はまだ広まってはおりませんが、いくつか事例が確認されており、簡単に実行することができます。フィッシングサイトがユーザー名を受け付けると、本物のWebサイトにセキュリティイメージを問い合わせます。その後、取得したイメージを表示すれば、信用してもらえます。

セキュリティイメージや追加対策は、確かにセキュリティを強化しますが、簡単に摸倣されてしまうため注意する必要があります。セキュリティイメージではなくWebサイトのURLに注意すべきであることと、セキュリティイメージはあくまで補助的な確認手段であることを顧客に知らせる必要があります。

このような悪しき慣習に加え、企業の多くは問題点を完全に解決することなく、数字を含むパスワードやユーザー名を使用すればアカウントを守ることができる、と顧客には指示しています。セキュリティ確保目的の質問もWebサイトによく追加されているが、安全性が高まるものでは決してありません。顧客が偽サイトに情報を直接提供する状況では、これらの方法はフィッシング攻撃に対するセキュリティ強化には必ずしも結び付きません。セキュリティの質問を変えたところで、攻撃者たちがその金融機関の質問方式に手慣れていれば、簡単にフィッシングを仕掛けることが可能です。

顧客側が詐欺を回避するための第一の防衛策は、正当な通信を見極めることです。企業側は、(1)顧客にリンクのクリックやURLのコピー&ペーストを促さない、(2)クレジットカード番号をオンラインで入力するよう指示しない、(3)企業と一体感のあるURLを一つだけ使用して顧客に見慣れてもらう、という対応を心掛ける必要があります。

残念ながら、Webサイトの多くがいまだに悪しき慣習を実行しています。多くの企業は、フィッシングメールと瓜二つのメールを送信し、クリッカブルリンクを記載して緊急の通知を行っているのが現状です。

企業は顧客に対する詐欺を防ぐことはできませんが、合法的なやり取りであることを見極められるよう顧客を啓蒙し、Webサイトを訪問した際の安全な慣習を奨励する必要があります。顧客が被害者にならないよう支援することで、顧客は満足を得て、再び企業のWebサイトを訪れることでしょう。