フィッシング詐欺摘発


日経新聞平成18年2月7日号の記事です。ヤフーのオークションサイトを使ってフィッシングで個人情報を詐取し、ネットオークションの商品を騙し取った疑いで25歳の男が逮捕されました。フィッシング手口による詐欺での検挙は始めてだそうです。

容疑者は、昨年3月からヤフーオークションの参加者に落札価格の確認と証して計5500件の偽メールを送付し、偽サイトに誘導した上で約500人分のIDとパスワードを入手したとのことです。この時点で著作権法違反などが成立しているのですが、更に、なりすまし注文して商品を騙し取ったとされています。この時点で詐欺罪が成立ということです。なりすまし注文には、ネットカフェなどのPCを使い、旅行券(2万円程度)など商品の受取りには、郵便物が溜まっている他人の家を指定していたそうです。溜まった郵便受けから、商品(普通郵便なのでしょう)を抜き出したということでしょう。その商品はネットオークションで売ったそうですから、何とも人を食った犯罪行為です。とはいえ、これだけ苦労して2万円(余罪は取り調べ中)です。これくらいのITスキルがあるのなら真面目に働いた方が余程実入りになりますが。

昨年6月に、フィッシングで始めて逮捕されたシステム管理会社社員の場合は、IDセフトと他人のメールを盗み見ただけですが、フィッシングで始めての検挙でした。容疑は著作権法違反と不正アクセス禁止法違反でした。9月には東京地裁で判決があり、懲役1年10ヶ月、執行猶予4年の判決が下りました。2年の求刑に対して減刑された理由は、充分に反省してヤフーとも示談が成立しているということでした。いたずら半分でやって、懲役1年10ヶ月はとても割に合わないから止めた方が良いという記事を期待したのですが、そうした報道はありませんでした。今度の事案は、身元を隠すために犯人は大変な手間暇をかけています。しかし、詐欺罪ですから、最長で10年の懲役です。実際にはそこまで厳しくないでしょうが、いずれにせよ元のとれない犯罪です。

ヤフーを舞台としたフィッシングで検挙者が出るという話を聞いたのは昨年末でした。適用する違法行為を何にするかが課題だけのようでした。その後の調べで物品金銭の詐取が立証できたため詐欺罪ということになったのでしょう。ネットオークションにおけるトラブルと犯罪の多さには警察も頭を痛めています。ヤフーもビジネスの根幹にかかわる問題ですから、取引者の身元確認には様々な手段を講じています。ルール違反などへのトレース態勢も相当なものと聞いています。加えて専門とする法律スタッフも充実しています。今回の検挙は、「ウチでやるのは、やめておいた方が良いよ!」というフィッシング予備軍への警告の意味もあるのでしょう。

翻って銀行を見ると、大手を除けば結構お寒い態勢といわざるをえません。ヤフーのように警察と共同捜査できる体制が整った銀行は少ないでしょう。そもそも関連する法律スタッフすらいません。顧問弁護士といっても大半は商事担当でしょう。アクセスログなど取引記録も委託先ベンダーに頼んで出してもらうことになります。迅速性にも問題があります。OTPなどで防止に努力するのは良いのですが、早期発見、早期排除、再犯防止も重要です。事後対応に弱い銀行の産業体質を改善する必要があります。

大手銀行やネット専業銀行などでは、ネット取引のセキュリティ担当チームがあります。関連する技術や犯罪事例の調査に海外を含めて飛びまわっています。この方々は、ITベンダーが海外から持ちこんだ対策用製品のデモをニコニコしながら見ていますが、実は何ヶ月も前に海外で視察済みだったり、既に実物製品を持っていることも多いのです。それを知らないベンダーの営業マンやコンサルタントが、解決にならない製品を延々と説明しますので、同席している私達は苛々し、同時にベンダー担当者を気の毒に思うことがあります。

問題は、充分なセキュリティ態勢をとれない金融機関です。最近は、スピア・フィッシングという特定の人達を対象としたフィッシングが増えているそうです。昨年6月に大騒ぎとなった米国CSS社(結局は身売りしました)の大量顧客情報漏洩は、スピア用のアドレスなどを狙ったものと思われています。銀行は、ネット取引顧客の情報保護に一段と注意を払うとともに、顧客や他の企業と共同して犯罪防止の仕組みを強化する必要があります。HPで注意を喚起するメッセージを掲示するだけでは免責になりそうはありません。