■米国の2007年ネット犯罪レポート

　米国のInternet Crime Complaint Center（IC3）が発表した、2007年のインターネット犯罪に関するレポート「2007 Internet Crime Report」を紹介します。

　レポートの紹介の前に、まず簡単にIC3について説明します。IC3はその名の通り、インターネットでの犯罪に関する報告を受け付ける機関で、2000年5月にInternet Fraud Complaint Center（IFCC）の名前で活動を開始しました。その後、「詐欺（Fraud）」だけでなく、「犯罪（Crime）」に関わる事案に対応している実情に合わせて 、2003年12月にInternet Crime Complaint Centerに名称を変更しました。なお、IC3はNational White Collar Crime Center（全米ホワイトカラー犯罪センター）やFBIとも協力関係にあります。

　今回発表されたレポートは、IC3が2007年に受け付けた（主に米国内で発生した）インターネット犯罪に関する情報を整理したものです。

　まず、「加害者」と「被害者」の属性に関する統計データから、内容の一部を紹介します。

　加害者のうち75.8％が男性であり、その居住地域として多いのがカリフォルニア、フロリダ、ニューヨーク、テキサス、イリノイ、ペンシルベニア、ジョージアでした。大半が米国内ですが、米国以外では英国、ナイジェリア、カナダ、ルーマニア、イタリアも少なくなかったようです。

　一方、被害者（通報者）の57.6％が男性であり、年齢は30歳から50歳が最も多く、居住地域として多いのはカリフォルニア、フロリダ、テキサス、ニューヨークでした。大半が米国内からの通報でしたが、カナダ、英国、オーストラリア、インド、メキシコからも多かったようです。

　また、被害者が失った金銭の額にも男女差があり、1人あたりで、男性の被害額は女性の1.67倍だそうです。これは、騙される方法が男女によって異なるからではないかとされています。

　次にIC3に通報された内容の中身を見てみます。図1が示すように、件数として圧倒的に多いのは「オークション詐欺（Auction Fraud)」と「購入品未達・未払詐欺（Non-delivery）」。これら2種類で全体の6割を占めています。

　しかし表1が示すように、1件あたりの被害額では、通報件数の少ない「投資詐欺（Investment Fraud）」「小切手詐欺（Check Fraud）」「ナイジェリアの手紙詐欺（Nigerian Letter Fraud）」が圧倒しています（予想通りの結果ではありますが）。

　また、このレポートでは啓発のために、2007年に通報のあった詐欺のうち、代表的なものをいくつかの種類に分類して紹介しています。

1）ペット詐欺（Pet Scams）

　ペットの買い手に対して、ペットを売ると騙して金銭を巻き上げるというシンプルなものだけでなく、ペットの売り手を騙す詐欺もあるようです。

　手口としては、まずペットの売り手に対して「買う」と偽って不正な小切手、しかもペットの金額よりも高額の小切手を送ります。次に、払い過ぎた超過分をすぐに返金して欲しいと連絡し、小切手が現金化される前に超過分を振り込ませます。一方、小切手は不正なものですから当然現金化されることはなく、ペットの売り手は返金した額をまるまる失うことになるわけです。

2）シークレットショッパー・資金振替詐欺（Secret Shopper and Funds Transfer Scams）

　これは、ペットの売り手を騙す詐欺に似ています。

　まず、名の知れた企業を騙って「シークレットショッパー」にならないかと勧誘します。シークレットショッパーとは、客を装って対象となる店の接客態度などを調査し、評価結果を依頼主に報告するというもので、それ自体は何ら違法なものではありません。次にシークレットショッパーになった人に不正な小切手を送り、そのうちの何パーセントかを第三者に送金するように指示します。そしてペット詐欺と同様に、その小切手が不正なものであることが判明する前に送金された金額を騙し取るのです。

3）養子詐欺（Adoption Fraud）・義援金詐欺（Charity Fraud）

　これはまず「URGENT ASSISTANCE IS NEEDED」というサブジェクトのメールが送り付けられるところから始まります。このメールは、英国の養子縁組団体などを騙って、窮状にある孤児や捨て子を救うための義援金を集めているという内容になっています。

　さらに悪質なものとして「たった一人の親、しかも裕福な親が病気で死にかかっている子供がいるので、その子供を養子にすれば財産がもらえる」と騙すものもあったようです。

4）恋愛詐欺（Romance Fraud）

　インターネットを通じて出会い、連絡を取り合うという点を除けば、普通の「結婚詐欺」と同じです。事例として紹介されているのは、一緒に旅行に行きたいとねだって旅行費用を振り込ませて騙し取るというもの。さらに騙し取る際の「言い訳」として、旅行費用は「事故で入院したので治療費に使った」「兄弟が誘拐されたので身代金に使った」「空港に行く途中で襲われて奪われた」といったものが紹介されています。今どき、こんな言い訳を信じてしまう人がいるということの方に驚きます（苦笑）。

　レポートではこれらの他にも、個別の事例について実名を挙げて詳細に紹介しています。

■ネット詐欺に対する啓発サイト「LooksTooGoodToBeTrue.com」

　先ほど紹介したIC3のレポートにあるように、米国でもネット詐欺の被害が多発していますが、その状況に対して、一般ユーザー向けに注意を喚起する啓発サイト「LooksTooGoodToBeTrue.com」が運営されています。

　このサイトは、United States Postal Inspection ServiceとFBIからの資金援助の下、National White Collar Crime Center（全米ホワイトカラー犯罪センター）などとの協力の下で運営されています。

　このサイトで提供されているサービスの中で興味深いのは「Take our Test」のページです。ここでは、いくつかの質問に答えることで、ネット詐欺にひっかりやすいか否かを診断してくれます。

　米国の一般ユーザー向けサービスですので、日本で生活している者にはそぐわない項目もありますが、普遍的な内容も含まれていますので、ぜひ一度お試しあれ。

■VoIPトラフィックは暗号化されていても言語の識別は可能

　少々古い話題ですが、2007年8月にボストンで開かれた「16th USENIX SecuritySymposium」で発表された論文を紹介します。

　これは、暗号化されたVoIPパケットの長さを使えば、使用している言語が何であるかが、高い確率で識別できるというものです。特に実験で使用した21の言語のうち、14の言語に対しては90％を超える確率なのだそうです。

　また、「スペイン語か、英語か」といった二者択一を、21の言語のすべてのペアに対して実験したところ、平均して86％以上の確率で識別できたようです。

　なお、実験には各言語に対してネイティブスピーカーを100人（広東語とスワヒリ語を除く）使っています。

　識別できるのは言語だけですが、この論文では、これが新たな「プライバシー問題」を引き起こすのではないかとしています。

■韓国の個人情報保護対策

　先日、1,000万人以上の個人情報が流出する「オークション」事件が起きた韓国では、放送通信委員会が行政安全部や最高検察庁、警察庁、金融監督院、韓国情報保護振興院、通信事業者、ISPなどとともに「インターネット上個人情報侵害防止対策」を発表しました。

　主な内容は次の通り。

1）個人情報流出による利用者被害の最小化

• 韓国情報保護振興院（KISA）と主要ポータルサイト運営会社は、流出した個人情報に対するモニタリングを現在の1日1回から、4～6回に強化。
• 放送通信委員会は、インターネットショッピングモールやゲームサイトなど300余りの業者と共同で5月から3カ月間、パスワード変更キャンペーンと休眠アカウント整理キャンペーンを実施。

2）通信事業者の個人情報保護責任性強化

• インターネット上での住民登録番号の収集を制限する法案を、行政安全部など関係省庁と協議して推進。個人情報の必要最小限の収集義務規定（情報通信法第23条第2項）の実効力確保のために、罰則を規定するなどの制度改善の推進。情報通信サービスプロバイダーに対して、ユーザー登録時に住民登録代替手段（i-PINなど）の使用を可能にすることを義務化する法改正も推進。
• パスワード作成基準適用の義務化、住民登録番号や口座番号などの金融情報の暗号化保存の義務化。
• 個人情報流出などの事故発生時に、事業者が、被害を被った利用者に対して事故の事実を知らせることを義務化するよう情報通信網法を改正。個人情報保護義務規定の実効性確保のため、違反事業者に対する制裁を重くする。例えば、個人情報管理責任者未指定などの手続き義務違反に対しては、科料を現在の1,000万ウォンから 2,000万～3,000万ウォンに引き上げるなど。
• 一定基準以上の事業者に対して、毎年、個人情報保護に対する脆弱性を分析評価する個人情報危険管理制度の導入を検討。

3）事業者の自律的個人情報保護活動の強化および認識向上

• インターネット企業協会など事業者団体は、個人情報保護のための倫理綱領および自立規約を制定して、情報保護投資拡大、分野別必要最小限個人情報の範囲設定の遵守、違反業者に対する制裁など事業者中心の個人情報保護活動を強化。
• メディアなどと共同で広報を推進し、小中高の生徒向けの個人情報保護教材の開発および普及なども推進。

4）技術的対策強化

• KISAが運営する「悪性コード隠匿サイト探知システム」の探知対象サイト数を、現在の10万から12.5万に拡大。インターネット上の個人情報流出を探知して早期対応するための個人情報探知システム「e-WatchDog」の構築を推進。

5）関連機関間の共同体制強化

• KISAとISP間のホットラインを構築。海外での個人情報の誤用、濫用に対応するために関係国との共助体制を強化。

(2008/05/01)

山賀正人（やまが まさひと） セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。

- ページの先頭へ-

INTERNET Watch ホームページ

Copyright (c)2008 Impress Watch Corporation, an Impress Group company. All rights reserved.