2006年11月30日(木) 01時44分
オンライン詐欺への対策は、技術面だけでなく懲罰の法制化も(RBB TODAY)
【左から】野々下孝治氏(BBAセキュリティ専門部会会長、ウェブルートソフトウェア)、「abcdefのワンクリウェア試験記録」管理人の高橋勇人氏、CDT副局長のAri Schwartz 氏、警察庁生活安全局の安部真技官
|
ブロードバンド推進協議会は29日、「日米オンライン詐欺の現状と対策」を開催。その中で、消費者サイドの視点から「日米オンライン詐欺」の現状と、今後の対策、解決すべき問題点などをテーマにして、パネルディスカッションを行った。
パネラーは米国CDT (Center for Democracy and Technology)のAri Schwartz氏、警察庁生活安全局の安部真技官、「abcdefのワンクリウェア試験記録」管理人の高橋勇人氏。モデレータはBBAセキュリティ専門部会の野々下幸治氏(ウェブルートソフトウェア)が担当した。
モデレータの野々下氏は、まず消費者サイドの視点から、「ワンクリウェアを仕込んだサイトは、消費者側に入会を促すものだが、これは違法と思うか?」という質問を投げかけた。
高橋勇人氏は、ネット上でワンクリック詐欺対策の草の根運動を展開しているボランティア運営サイト「abcdefのワンクリウェア試験記録」(http://oc42.jp/)の管理人だ。ユーザーが実行することで感染するトロイの木馬の一種「ワンクリウェア」についての監視、調査、報告を行っている。ワンクリウェアはほかのPCに感染しないが、スパイウェアのようにメールアドレスを盗み出し、アダルトサイトなどに通知・自動アクセスしたり、請求画面を何回も表示させる、などの特徴がある。
高橋氏は「通常のサイトでは、サービスを提供し、金銭が発生することを相互に合意した上で正規の手続きをする。ワンクリの場合は、料金の契約が恣意的に目立たないところにあるため、契約は成り立たないのではないか」という考えを示した。また、安部氏も、「サイト個々の内容について見てから判断しなければならないが、契約手順をしっかり踏んでいるかどうかがポイント。相手を誤診させてだまそうとしている場合は、詐欺または詐欺に類するものになる。最近は手口が巧妙化しているが、基本的にだましやうその内容があれば犯罪とみなせる」と述べた。
しかし現実には、このような詐欺まがいのサイトが横行しているのが状況だ。野々下氏はAri Schwartz氏に対して、米国ではスパイウェアは違法のものと認識されつつある点を確認し、「詐欺的な行為をどのように解決していけばよいのか」と問いかけた。Ari Schwartz氏は、インターネットのセキュリティ問題に関して、米国政府・議会に提言を行う非営利団体CDT (Center for Democracy and Technology)の副局長を務めている。インターネット上の詐欺、偽装、不正商行為であるスパイウェアについて、統一した定義やスパイウェア対策製品のガイドラインを策定した。また同氏は、政府・議会への提言を行い、米国スパイウェア法案制定の中心的役割を演じたオピニオンリーダーでもある。
「米国も最初はまったく日本と同様の状況だった。このようなサイトでは契約がなかったり、契約の文言が隠されていたりした。極端な例では、ユーザーが何もしないのにスパイウェアにかかってしまうこともあった。ユーザーは知らないうちに責任を負わされてしまう。したがって、最悪なケースを知らせることにより、まず注意を喚起させることが必要だ。またグレーゾーンに近い犯罪は、オンラインだけでなく、オフラインも同じような事件が起こっている。このようなケースでは、国内法でも十分に対策できるのはないか」とした。
次に、野々下氏は「フィッシングなどでは小額犯罪のため、個人が泣き寝入りすることも多くある。このような犯罪を抑止するためには、どうすればよいのか」と質問。この点について、安部氏は「いろいろな意見があるだろうが、警察としてはしっかり捜査をして、犯人を捕まえることが使命。それによって全容を解明し、実際に行った犯罪と刑罰のバランスを考えることができる。また、小額詐欺でもすべてを没収することは可能だ」と述べた。
とはいえ、国内での法制化の動きは、ウイルス作成ツールやマルウェアによる犯罪についてはまだ審議段階。アンチスパイウェア法もまだできていない。一方、米国では現行法でも取り締まれるにも関わらず、新しいアンチスパイウェア法がいくつかできている。この点に関して、野々下氏はAriSchwartz氏に疑問を投げかけた。
これを受けてAriSchwartz氏は、「米国では、連邦レベルでの既存アンチスパイウェア法と州レベルでの新しいアンチスパイウェア法がある(現在7つの州のみ)。これは、犯罪に対して懲罰を重くするための意図がある。たとえば、カリフォルニアでは州のアンチスパイウェア法は実際には使われていない。というのも、連邦レベルの既存法の方が懲罰が重いからだ。ところがテキサス州では州案の方が懲罰が重く、そちらの法で執行している。懲罰の重さと犯罪のダメージとのバランスを取るために、新しく作られた法案がたくさんある」と述べた。
では、法整備が進んでいない国内で、実際に個人ユーザーが被害にあったとき一体どうすべきなのか。「個人レベルで銀行に金を振り込んでしまった場合、直後であれば振り込みを取り消す手続きができる。現実的な方法としては今はこれしか思いつかない」と高橋氏。また阿部氏は、「警察本部にサイバー対策本部の窓口があるので、そこに相談してほしい。その際には被害にあったパソコンやHDD、メールのやりとりなどをできるだけ保全して、迅速に対応してほしい」と述べた。
また、「技術的な側面からフィッシングサイトを見破る方法はないのか?」という来場者の質問に対し、野々下氏は「マイクロソフトのIE7では、SSL強化版としてEV SSL証明書(Extended Validation SSL Certificates)への対応を表明している。証明書を取得したサイトをIE 7で表示すると、アドレスバーの背景が緑色になるので、正規サイトかどうかわかるようになっている。ただし、あるサイトについては対応しないなど、これが徹底されていないと、まったく意味がなくなる。技術的な話だけでなく、制度的な問題や、仕組みなども含めて考えないと対策は有効に進まないだろう」という見解を示し、このイベントが法制化へのきっかけになればうれしいと締めくくった。
(RBB TODAY) - 11月30日1時44分更新
http://headlines.yahoo.co.jp/hl?a=20061130-00000000-rbb-sci