|
警察庁生活安全局情報技術犯罪対策課の吉田和彦課長補佐
|
12月3日までパシフィコ横浜でネットワークをテーマにした講演を集中的に行なう「Internet Week 2004」が開催されている。2日目には「Security Day ~右手に技術、左手にポリシー、心に愛~」と題したプログラムで、警察庁生活安全局情報技術犯罪対策課の吉田和彦課長補佐が基調講演「サイバー犯罪の現状と対策」を行なった。
吉田氏はまず、サイバー犯罪を「不正アクセス禁止法違反」「コンピュータ・電磁的記録対象犯罪」「ネットワーク利用犯罪」の3つに分類。最近の傾向ではネットワーク利用犯罪の増加率が高く、2003年においてはサイバー犯罪の89%を占めたという。「ネットワーク利用犯罪では実社会を投影した犯罪が多く、プリペイド携帯を利用した事例やいわゆる“オレオレ詐欺”にも通じるものがある」とした。
警察への相談件数では、2003年は20,338件。2004年は6月までの半年間で14,923件に達した。国民生活センターでも2003年には12万件以上の報告を受けており、「全体的に報告数は増加傾向にある」という。内訳では架空請求関連が最も多く、続いてインターネットネットオークション関連、わいせつ物や自殺を扱う違法なサイトについての相談も目立つと分析。ただし、近年は技術を悪用した不正アクセスやウイルス被害に比べて、悪質商法や詐欺などの金銭的な被害の相談が急激に増加したとしている。
● フィッシングメールの被害に遭わないためには「平常心で確かめること」
インターネットを利用した詐欺の中でも注目しているというフィッシング詐欺についても言及し、「米国を中心に被害が広がっているが、日本語のフィッシングメールも存在を確認している」と警告した。
フィッシングメールの手口は、人間の隙をつく「ソーシャルエンジニアリング」の手法を取る。「昔だったら電話で『メンテナンス中なのでIDとパスワードを教えてください』と騙していたが、現在は伝達方法がメールに変わっただけ」として、基本的な部分では古典的な手法だと述べた。「技術的にもメール差出人名の詐称や、それよりは少し難しいがブラウザのアドレスバーの偽装など、少し知識のあるユーザーであればすぐに見破れる」と分析した。
ある程度の知識があれば騙されることはないというフィッシング詐欺だが、現実の被害は拡大傾向にある。この理由として、「見慣れたシンボルマークであれば信用しまう」「金融機関に似たアドレスを信頼してしまう」などインターネットならではの原因を挙げた。「インターネット上では通常の世の中で確認すべき事柄をおろそかにしてしまう。怪しいメールやサイトにであったら、まずは立ち止まり平常心で(Stop)、しっかり確認し(Look)、おかしいと思ったら実際に利用しているサービス窓口に電話する(Call)ことが大事だ」と米司法省が推奨する「Stop,Look,Call」を利用者の心構えとして紹介した。
一方、サービス提供者側の対策としては「自身のサイトを使われているのであれば自助努力のしようもあるが、フィッシング詐欺は偽サイトで行なわれるのでできることは限られる」とした上で、「地味な作業だが、注意喚起は必要だ」と指摘する。例えば「メールによる金融情報の問い合わせはしない」というポリシーをWebサイトに明記したり、間違えてメールを送信しないように従業員にも周知しておく必要があるという。
また、不幸にもフィッシング詐欺が発生してしまった時は、サービス事業者はフィッシングサイトの閉鎖をISPに要請しなければならない。しかし、「ただ消せばよいというものではない。その後の捜査に利用できるように、あらかじめ証拠を保存・収集しておいてほしい」と呼びかけた。
● 情報セキュリティの取り組みは交通安全と同様に
吉田氏はインターネットを「便利だけど、使い方によっては危険なもの」と定義付ける。交通安全に取り組んできた吉田氏は、急激なモータリゼーションによって交通事故の死亡者が2万人近くに上ったという1960年代と、IT化が進む現在を「非常に似通った状況にある」と分析する。
「現在と比べて1960年代は車が少なかったにも関わらず、事故による死亡者は多かった。これは安全対策を模索していた過渡期の時代という背景があった。現在、インターネットの情報セキュリティについても模索中で被害者が拡大傾向にあり、1960年代の自動車社会の状況と似通っている。」
2003年には交通事故者の死亡者数は8,000人にまで減少した。この減少に効果があったのが「Education」「Engineering」「Enforcement」の「交通安全3つのE」だという。ユーザーへの安全教育である「Education」、道路管理者による信号、標識設置などの安全施策である「Engineering」、そしてルールをしっかり守ってもらうための取り締まりである「Enforcement」の3つの施策を、情報セキュリティ分野に置き換えて実施するべきだとの見解を示した。
具体的には、セキュリティ修正プログラムの適用などを盛り込んだ安全教育、プロバイダー業界などと提携した技術的な安全対策、専用の体制、資材などを整えた取り締まり体制などを挙げた。「例えば、交通安全には『手をあげて横断歩道を渡りましょう』という子どもから老人までわかる標語がある。誰でもわかるということはそれだけ浸透しているということ」とコメントし、情報セキュリティに関しても「パッチを当ててインターネットをつかいましょう」と自作の標語を披露して講演を締めくくった。
関連情報
■URL
Internet Week 2004
http://internetweek.jp/
( 鷹木 創 )
2004/12/01 20:24
- ページの先頭へ-
|