Интернет криминогенной ситуации и проблемы

インターネット犯罪の現状や課題を話し合う国際会議「ネット犯罪対策運用サミット」が２６日、東京都内で開幕した。世界で約１７００の企業・省庁などが参加する米アンチフィッシングワーキンググループ（ＡＰＷＧ）主催で、アジアでの開催は初めて。２日間の日程で、日、米、英、仏、中、韓などの警察関係者、研究者ら２４０人が参加している。

　２６日はフィッシング詐欺対策を中心に、内田勝也・情報セキュリティ大学院大学教授、国際刑事警察機構（ＩＣＰＯ）金融・ハイテク犯罪捜査局のラルフ・チマーマンさんが講演したほか、日米韓の現状報告があった。

　内田教授は、携帯電話サイトを使ったワンクリック詐欺や振り込め詐欺が起きている日本の現状を報告した。バンク・オブ・アメリカをかたったメールなど、英語のフィッシングメールが届いた例を挙げ、「日本は米国よりコンピューター犯罪が少なく、英語のフィッシングメールには関心を持たない人が多いが、フィッシング詐欺はこれから増える」と指摘。「フィッシング詐欺を“ソーシャルエンジニアリング”（ミスにつけ込み、盗み見などの手法で秘密情報を詐取する手法）の一つととらえ、『人のぜい弱性』を防ぐ方法を考えた方がいい」と提案した。

　一方、チマーマンさんは「サイト構築に必要なツールがそろった『フィッシングキット』が販売され、プログラムを書く技術がそれほどなくても、フィッシングサイトを作れるようになったことは問題だ。フィッシングは金融犯罪の一つ。組織犯罪の資金提供源になるほか、資金洗浄に利用される」と話し、「携帯電話のような新しい決済方法、法律やインフラが未整備の地域が狙われる。物理的な銀行強盗は不要だ。より簡単に巨額な資金を得られる」と警告した。ＩＣＰＯでは、金融・ハイテク犯罪を優先分野の一つに掲げ、０３年にフィッシングについて情報収集を始めた。加盟国と新たな手口、首謀者などについて情報を共有したいとする。

　韓国では０７年１月、大手銀行を狙ったフィッシング攻撃があった。有名なポータルサイトをハッキングして不正なプログラムを仕掛け、接続した利用者の「公開鍵基盤（ＰＫＩ）証明書」を詐取する手法で、銀行からの通報で韓国インターネット侵害事故対応支援センターが対応し、解決した。攻撃者のサーバーには４０００件のＰＫＩ証明書が格納されていたという。また、オンラインゲームを通じて、２週間で１７００人の個人情報が漏えいした事件も報告された。同センターのテレンス・パク研究員は「毎月４００～５００のウェブサイトが不正プログラムの攻撃対象になっている。不正プログラムの分散を防ぐため、（インターネット検索最大手）グーグルと情報交換し、検索時に危険なサイトを通知している」と話した。

　さらに、利用者教育の必要性についてフィッシング詐欺のオンラインゲーム教材「Ａｎｔｉ－Ｐｈｉｓｈｉｎｇ　Ｐｈｉｌ」を開発した米カーネギーメロン大学博士課程のスティーブ・シェンさんが発表し、「フィッシング詐欺には、ほかの詐欺についての知識が応用されない。金融詐欺について知っているのに、（総合販売サイト）アマゾンをかたったフィッシングメールには応じてしまう」と指摘。「特定の攻撃についてではなく、複数の攻撃手法に対応できるような教育が必要だ」として、ユーザー参加型のゲームで学ぶなどの研修方法を提案した