顧客の信頼を奪うフィッシング詐欺

先日、私のＰＣに銀行のカスタマー・サービスを名乗る相手から、「顧客情報を含むデータベースが攻撃を受けたので、アカウント保護のため大至急ログインして残高と個人情報が正しいことを確認するように」と半強制的なメールが届いた。メール内に記載されたリンクをクリックすると、その銀行のログイン画面が開きＩＤとパスワードを要求してきた。これは、米国を始め全世界で深刻な問題となっているフィッシング詐欺の一例である。フィッシング（Phishing）とは、主に金融機関やｅコマース企業など実在する電子メール・アドレスやＷＥＢサイトを偽装して、口座番号や社会保障番号といった個人情報を不正取得する詐欺行為のことを意味する。フィッシング詐欺が社会問題として採り上げられてから一年以上が経過するが、この種のメールが１ヶ月に数件の割合でアンチウィルス・ソフトに検出されずに未だに届くのが実状である。

最近になって、その手口はさらに巧妙さを増し内容も悪質になっている。例えば、過去に悪用された企業になりすまして、当社を装った詐欺メールに注意するよう警告し、さらに詐欺メールの見分け方を記載することで受信者に安心感を与える。その上でログイン画面に誘導するメールも登場するようになった。表示されるアドレスは本物と同一で、会社のロゴや著作権表示まで丁寧に模倣されており、詐欺だと知った上で見ても本物との見分けがつかない。ここまで巧妙なメールが送られてくると、たとえ本物のメールが届いても、二度と信用することはできないだろう。

悪用された企業にとって顧客の信頼損失は重大な問題である。被害が拡大するに従い、顧客は企業がとるセキュリティ対策の状況を重視し、オンライン・サービスの積極的な利用を控えるようになっている。一方、企業は顧客離れを防止する為、監視・認証に関する最新技術を導入し、自社のセキュリティ方針を通知して啓蒙活動を行うなど、信頼回復に努めている。フィッシング詐欺は今後も増加する傾向で、2008年には現在の発生件数の8倍に達するとも予測されており、一層深刻な脅威に発展する可能性がある。犯行の手口は加害者側の用いる技術が先行しているケースが多いために、完全に阻止することは困難であるが、既存の製品や手法を取り入れることで被害を最小限に抑制することが出来る。企業は顧客保護のためのセキュリティ対策に積極的に取り組み、フィッシング詐欺の脅威に臨むべきである。