■欧米を中心に爆発的に増加するフィッシング詐欺

　フィッシングという新たな詐欺の手口が、欧米を中心に猖獗を極めている。最近では日本国内にも同様の手口が登場し、IT系のニュースや企業サイトなどで「フィッシングにご注意を」といった警告や呼びかけを頻繁に見かけるようになった。この詐欺は、いったいどこから現われたのだろうか。そしてどのような人物が、犯行に手を染めているのだろうか。

　フィッシングの手口をもう一度復習しておこう。それはインターネットユーザーのもとに、メールの形をとってやってくる。銀行やクレジットカード会社の名前を騙り、文面はたとえば次のようになっている。「このまま放置すると、あなたのアカウントが失効してしまう可能性があります。以下のURLをクリックし、手続きを行なってください」「あなたのクレジットカードが不正に使われる可能性があります。これを防ぐために、以下のURLから所定の手続きを行なってください」。そしてURLには「visa-security.com」「citi-credit.com」など、いかにもそれらしいドメイン名が使われている。本物のVISAカードやシティバンクのサイトだと騙されたユーザーはURLをクリックし、フォームでカード番号や住所、名前、生年月日などを入力し、信用情報を詐欺犯に与えてしまうという結果になる。

　手口自体は、新しいものではないという指摘もある。だが2003年末から今年にかけ、欧米を中心に爆発的に広がり続けている。米調査会社のGartnerによれば、被害者数は全米で178万人に上るという試算があり、また英MessageLabは、フィッシングが今年前半に前年の800倍にも増えたと発表している。フィッシング詐欺対策の業界団体であるAnti-Phishing Working Group（APWG）のスポークスマンは最近、あるセミナーで「フィッシング詐欺に手を染めているのは当初はアマチュアだとみられていたが、現在ではより高度にプロフェッショナル化され、組織的に行なわれている形跡もある」とコメントした。

　またISPの米Earthlinkがフィッシング詐欺について調査を行なったところ、昨年発見されたフィッシングメールの出所は、半数以上が18歳以下の少年だったという。ところが今年に入り、同様の調査を行なったところ、未成年者が関与しているとみられるケースは減り、逆にロシアやアジアを発信源とする詐欺メールが激増していたという。

■実行犯の中心は東欧の組織的犯罪ネットワーク

　そう、このフィッシング詐欺は現在、東欧各国やアジアの詐欺犯たちがネットワークを作り実行している、組織的な犯行になりつつあるのである。実際、過去数カ月の摘発事例を見ていると、事件の根が東欧につながるケースは特に多い。たとえばルーマニアの司法当局は現在までに、100人以上の犯罪者をフィッシング詐欺関連の容疑で逮捕している。ルーマニア組織犯罪対策部は最近、米シークレット・サービスとも協力し、ダン・マリウス・ステファン（Dan Marius Stefan）という男を逮捕した。ステファン容疑者は巧妙なWebサイトを作り上げ、ネットオークション「eBay」の利用者から偽のエスクローサービスを使って50万ドル（約6,000万円）以上をだまし取っていた。

　この手口は次のようなものだ。オークションサイト上で自動車や宝石など高価な物品を出品する。数十万円以上もするような商品をオークションで取引する際には、落札者と出品者は安全を考えてエスクローサービスを利用する場合が多い。エスクローは通常、オークション運営会社が用意し、落札者はこのエスクローサービスにまず入金。サービス側は入金を確認したら出品者にその旨を通知し、通知をもらった出品者は品物を落札者に発送する。品物を落札者が受け取って確認したらサービス側に連絡し、この段階でようやく預かり金が出品者に送金されるという仕組みになっている。

　ステファン容疑者のフィッシング詐欺は、このエスクローサービスのWebサイトを偽装したものだった。落札した被害者はステファン容疑者からのメールに誘導され、偽のエスクローサービスにクレジットカード番号や有効期限、名前、住所などを入力してしまったのである。

　ステファン容疑者はこの手口で荒稼ぎしていたが、ルーマニアとシークレットサービスの合同捜査チームに摘発され、ルーマニアの刑務所で3年近い刑期を務める結果となった。

■フィッシング詐欺流行の背後にロシアマフィアの参入

　イギリスの国家ハイテク犯罪対策部隊は今年5月、イギリス在住の12人のフィッシング詐欺犯グループを逮捕した。全員がロシア語圏の出身者で、国籍はロシアやバルト三国、ウクライナなどまちまちだった。彼らが被害者からだまし取ったカネは、ロシアに送金されていたという。イギリス司法当局の調べでは、彼らはインターネットのチャットやロンドン市内で発行されているロシア語の雑誌の告知欄などで勧誘され、フィッシング詐欺に手を染めるようになった。そして元締めは、ロシアのマフィアではないかとみられている。

　別のアメリカの新聞でも、FBIの係官が「バルト三国のラトビアとウクライナに、フィッシング詐欺の組織化されたグループがあるのは間違いないと思う」とコメントしている記事がある。

　以前から報道されているように、ロシアには盗難クレジットカード番号売買の巨大な闇市場があると噂されている。たとえば現在は国土安全保障省に統合されているFBIの組織「NIPC（National Infrastructure Protection Center）」は2001年、アメリカ国内で1年間に100万枚以上のクレジットカード番号がECサイトなどから盗まれ、その多くがロシア国内で不正利用されているという衝撃的な報告を行なっている。手口の多くは、ECサイトのセキュリティホールを突いた不正アクセスで、ロシアの犯罪者たちがかなり高度な技術を持っていることがうかがえる。官公庁のWebサイトなどにF5攻撃を行なってダウンさせる「サイバーデモ」の類とは、次元の違う犯罪だ。

　こうしたクレジットカード番号闇市場の存在と、フィッシング詐欺の相関関係は明らかだ。クレジットカードを盗むための新たな手口として、ロシア・東欧の犯罪者たちはフィッシング詐欺という新ツールを手に入れたのである。「昨年はアマチュアの犯行が多かったが、今年はプロフェッショナル化されている」という専門家の指摘は、ロシアマフィアの参入を裏付ける証言と言えるだろう。

　実際、最近になって登場した新たなフィッシング詐欺メールは、きわめて高度な「だましのテクニック」が駆使されるようになっている。たとえばシティバンクを騙ったメールがそうだ。これは日本の数多くのネットユーザーも受け取っているほど広範囲にばらまかれているものだ。メールの文面は、次のようになっている。

　＜シティバンクのお客様へ

　シティバンクの技術サービス部門が弊社のソフトウエアをこのたびアップデートすることになりました。このため、以下の説明に従ってお客様のデータを確認してください。確認を行なわないと、システムにアクセスできなくなってしまう可能性があります＞

　その下には、citibank.comを含むURLのリンクが貼られている。このドメインは本物のシティバンクのドメインだから、利用者は安心してクリックするだろう。だが実際には、クリックして開かれるのは、偽のページである。実はHTMLメールのこの文面全体がクリッカブルマップになっており、このイメージにリンクされている別のURLに飛ばされる仕組みになっているのだ。

　巧妙なのは、それだけではない。このURLをクリックすると、ウインドウが2つ開く。1つは本物のシティバンクのサイト。その脇に、個人情報入力フォームのポップアップウインドウが開く。実はこのポップアップだけが、偽のWebページになっているのだ。こちらにはアドレスバーも表示されないから、一見して偽のページであるとは気づかない。多くの人は、シティバンクの本物のサイトが表示されているメインウインドウを見て安心し、ポップアップウインドウに自分の大切な個人情報を入力してしまうことになる。とくだん高度な技術を使っているわけではないが、ソーシャルエンジニアリングを考え抜いた巧みな手口と言えるだろう。見事というしかない。

　こうしたロシアマフィアの跳梁に対し、業界団体のAPWGはFBIやシークレットサービスなどと協力して捜査を進めている。だが国境の壁に阻まれて訴追が不可能であるケースが圧倒的に多く、撲滅作戦はいっこうに進んでいないようだ。

■日本のフィッシング詐欺の手口はまだ低レベル

　一方、日本ではどうだろうか。すでに報道されているように、Yahoo! JAPANのサイトを装ってログインIDやパスワードを盗み取ろうという手口や、クレジットカード会社のJCBを騙って利用者のカード番号を入手しようとする手口などが出現している。

　後者のJCB事件で送られた偽メールは、次のようなものだ。

　＜いつもご利用ありがとうございます。おめでとうございます。毎月抽選で100名様に当たる1万円分のJCBギフトカードにご当選いたしました。つきましては本人確認の為、1～5の本人確認をご記入の上こちらにそのまま返信ボタンをクリックしてご返信ください。　JCBクレジットカードセンター

１．カード番号１６桁
２．有効期限　　年　月迄
３．お名前　漢字
　　　　　　フリガナ
４．ご住所
５．お電話番号

※暗証番号は本人様だけの個人情報になりますので絶対に記入しないでください。

期限　2004年5月20日12:00到着分有効＞

　差出人は「JCBクレジットカードセンター」で、出現したのは5月中旬だった。メールの送信には、国内のフリーメールサービスが使われていた。JCBにも顧客からの問い合わせが数件あったというが、実際の被害は出ていないようだ。

　犯行に使われたフリーメールの関係者によると、オンライン登録時に書かれていた住所や郵便番号、名前などはデタラメの内容だったという。同社は登録時に個人情報の入力を求めているが、本人確認は行なっていない。

　犯人がこのフリーメールを登録した際の発信元は、東京・吉祥寺のマンガ喫茶。だがその後、マンガ喫茶以外のプロバイダーからもアクセスを行なっていた。

　少し頭の良い犯罪者であれば、フリーメールはあくまで被害者からの受信用だけに使い、送信には別のSMTPサーバを用意するということを考えるはずだが、この犯人はインターネットに関する知識はあまり持っていなかったのだろうか。フリーメール会社が用意しているWebメールサービス経由で、詐欺メールを1通ずつ手作業で順に送信していたようなのである。実際の作業が行なわれたのはフリーメールに登録した5月16日その日。午後2時から6時にかけ、吉祥寺のマンガ喫茶から2時間に渡ってメールを送信し続けた。さらに翌日には、マンガ喫茶には飽きたのか、今度はプロバイダー経由でメール送信を行なった。総数は850通。かなり面倒で、目の痛くなる作業だっただろう。

　このメールアドレスに対して、エラーメールが返っていた形跡はなかった。このため犯人はアドレス収集ソフトなどによって集めたのではなく、実在のメールアドレスデータをどこからか入手して送信したとみられている。またその後、一度だけ誰かから返信が返ってきた形跡は残っていた。だが現時点で被害届は出ておらず、この犯人が首尾良くクレジットカードデータをその返信者から入手できたかどうかは、わかっていない。

　いずれにせよ、シティバンクのケースなどと比べれば手口はかなり幼稚。日本のインターネット詐欺の技術力もまだまだ低レベル、ということが浮き彫りになるような事件だったと言えるだろう。

佐々木 俊尚 　元全国紙社会部記者。その後コンピュータ雑誌に移籍し、現在は独立してフリージャーナリスト。東京・神楽坂で犬と彼女と暮らす。ホームページはこちら。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c) 2004 impress corporation All rights reserved.