2006年11月30日(木) 00時56分
ワンクリック詐欺の被害累計額156億円! 対策はどうすればいい!?(RBB TODAY)
警察庁生活安全局の安部真技官(情報技術犯罪対策課 課長補佐)
|
日本におけるワンクリック詐欺の被害者は約101万人、被害累計額は156億円にもおよぶという。ブロードバンド推進協議会が実施した「オンライン詐欺に関するユーザー調査」にて明らかにされた。
このように急増するオンライン詐欺の実態把握と問題究明を目的に、同協議会は「日米オンライン詐欺の現状と対策〜米国スパイウェア対策と警察庁の取組み〜」を開催。警察庁生活安全局の安部真技官(情報技術犯罪対策課 課長補佐)が登壇、国内のオンライン詐欺の検挙状況と、警察庁の対策について述べた。まず安部氏はサイバー犯罪の検挙状況について説明した。ここでは、「平成18年上半期のサイバー犯罪検挙件数は1802件。前年同期比で11.8%増加し、半期の件数としては過去最大になった」と報告した。
サイバー犯罪でもっとも多かったのが詐欺で733件(40.7%)。このうちの8割強がインターネットオークション関連だという。次に多かった犯罪は不正アクセス禁止法違反で265件(14.7%)にのぼる。不正アクセス行為の動機は「不正に金を得るため」が約87%を占めている。また不正アクセスに係る犯行の手口については、利用権者のパスワード設定や管理の甘さにつけ込んだものが115件(43.6%)、フィッシングサイトにより入手したものが102件(38.6%)となっており、特にフィッシングサイトの被害は前年同期1件から大幅に増加している。
安部氏は、不正アクセスのパターンに、他人のIDやパスワードなどの識別符号を無断で入力する「識別情報窃用型」と、アクセス制御機能による特定利用の制限を免れる情報や指令が入力される「セキュリティホール攻撃型」があるとし、実際の検挙事例をいくつか挙げた。
まず、フィッシングサイトによる事件では、5月と7月に起こった詐欺・不正アクセスでの検挙事例を紹介した。ネットオークション運営会社のサイトと同じサイトを作成し、会員を電子メールで誘導。さらにIDとパスワードを入力させて不正に会員の識別符号を入手。この情報をもとに他人になりすまし、オークションに商品を架空出品して落札者から代金をだまし取ったという。この事件は組織的な犯行で、幹部グループが「闇の職業安定所」としてネット上から詐欺実行犯を集って行われたという。
窃取したIDとパスワードは約5,800件、このうち約2,800件は出品の事例登録がなかったため利用されなかったものの、残りの約2,300件は詐欺に利用されてしまった。さらに残りの約700件の情報は、掲示板で販売がなされた。口座については闇ルートで流通している、いわゆる「飛ばしの口座」を入手。こういった口座は一口座4万5,000円ぐらいから売られているという。また、偽造免許証などから作成した架空口座も転売されているそうだ。「被害額が小額でも、ちりも積もれば山となる。被害額は1億円を超えた」(安部氏)。
このようにフィッシングによる詐欺事件が社会問題となっているが、「現時点ではフィッシングによるID・パスワードの窃取行為を罰する法律が整備されていないことも問題」と指摘。企業におけるフィッシング対策状況は、9割以上の金融系企業がホームページ上から注意を喚起しているものの、SSLによる暗号化通信などの対策をしている企業は4割に満たない。また全体としては、特に何も対策を施していないというケースも半数に上るのが現状だ。安部氏は、こうした現状を踏まえ、「関係機関や業界が連携し、顧客などに対してフィッシングの脅威を知らしめる広報啓蒙活動を推進する必要がある。また、フィッシングサイトの偽装を見抜く方策の検討や、OTP(ワンタイムパスワード)などの認証手段を導入することも重要」と述べた。
もうひとつの検挙事例はスパイウェアによるもの。平成18年4月に、セキュリティ対策ソフトのCD-Rや、クレームメール(商品が壊れたなど)の添付ファイルを装って、スパイウェアを法人に送付する事件が発生。それを使用した法人のネットバンキング用パスワードなどが盗まれた。そして、自己管理する他人名義口座に送金させるという犯罪だ。安部氏は、「知識がなければ、こんな簡単なことでも引っかかってしまう恐れがある」とし、これらの犯罪対策として、「不審なメールやCD-Rに注意すること、スパイウェア対策ソフトを導入すること、業務処理用(受注・連絡など)と経理処理用(入金・入金確認など)のパソコンを分けておくことが必要だ」と注意を呼びかけた。
一方、これら以外にも、内部犯行による検挙事例もある。勤務していた農業協同組合のオンラインシステムを不正操作し、組合員の共済掛金を口座に振り込む事件が平成18年5月に発生。また、インターネットカフェで店員がパソコンにキーロガーを仕込み、客から識別符号を入手し、その客になりすましてオンラインゲーム会社に不正アクセスする事件も起きている。安部氏は、「ID、パスワードの管理をしっかりする必要がある。担当が変わったら、従来の情報を失効させること。管理者のID、パスワードは共有して利用しないこと。またアクセスコントロールをして、管理者の操作記録を改変できない形で保存すること」などを対策として挙げた。
次に、情報セキュリティ対策上の注意点として、ファイル共有ソフトなどから流出した情報によって不正アクセスする事例を紹介した。この事件は、暴露ウイルス(山田オルタナティブ)に感染したパソコンから流出した情報を電子掲示板から入手し、そのパソコンに侵入。さらにインターネットバンキングのIDとパスワードを窃取して銀行のサイトに不正アクセスし、自分の口座に不正送金を企てたもの。「金銭目的のサイバー犯罪では、個人情報が取得される段階で事前に食い止めなければならない。最終的な弱点は人だ。だが、技術的な対策も重要。記録を残すことは犯罪があった場合に捜査で必要不可欠になるため、ログの保存は重要だ」(安部氏)と説いた。
最後に安部氏は警察の取り組みについて言及。サイバー犯罪対策プロジェクトとして、「各都道府県警察に専任の捜査官や情報セキュリティアドバイザーを置いて捜査をしている。技術面では情報通信部門と連携し、その支援にあたっている」と述べた。サイバー犯罪などの相談受理件数は右肩上がりの状況だが、インターネット安全・安心相談システムも開設し、一部に効果が見られてきたという。また、「不正アクセス行為の再発を防止するための援助措置や、インターネットホットラインセンターなどの通報窓口を設置して、犯罪を未然に防ぐ努力をしている」と述べた。
(RBB TODAY) - 11月30日0時56分更新
http://headlines.yahoo.co.jp/hl?a=20061129-00000047-rbb-sci