今週は、フィッシング詐欺の話題を扱うテレビ番組が立て続けにあった。 日曜はTBSの報道特集、 月曜はNHKのクローズアップ現代と特集で扱われ、 そして木曜にはテレビ朝日のやじうまプラスでちょっとだけ扱われた。 やじうまプラスでは、直前に勤務先に取材申し込みがあり、 私もコメントした。
その中で限界を感じたのは、テレビで自衛策を伝えるのはどうにも無理っぽい ということだ。
5年前にソフトウェアのセキュリティ欠陥の問題に首を突っ込んだのは、当時 の私の認識として、あまりにも世間で脆弱性の存在とパッチの必要性が認識さ れておらず、その認識を変えなければどうともならないという思いがあったか らだった*1。その後、インターネットの利用が一般市民へさらに広 がりつつ、大規模なワーム被害が出るなどして、マスメディアがインターネッ トのセキュリティ問題を扱うことがたびたびあるようになってきた。
その中で、取材を申し込まれたりアドバイスを求められたりすることがあった。 そのときいつも意見として主張していたのは、何が根本的な原因で、誰がどう 対処するべきかということこそを、視聴者に伝えるべきだということだった。
しかしそれはなかなか達成されなかった。新聞でもテレビでも、取材する記者 やディレクターさんは、説明すれば問題点をきちんと把握してくださるけれど も、それがデスクに上げられたときに、却下されるというパターンが多いらし い。
「難しい」話はできないというのだ。専門用語がひとつでもあると駄目という のは、端から見ていてもわかることで、「ネット閲覧ソフト」などといった言 い換えがいまだになされている。
今回も当初、「アドレスバー」という言葉を出したときに難しい顔をされた。 アドレスバーと言っても視聴者はわからないだろうから……というのだ。
いろいろ経験して悟ったのは、ようするにテレビというのは、視聴者が理解可 能な話(視聴者達がその話題を理解するのにふさわしい知識の準備ができてい る話)しか扱えないということらしい。まるっきり誰にでもわかりきっている 話なら、それはニュースでないのだから放送する意味がないわけだが、ちょっ とだけ新しいことを入れて伝えるのだと。知らない話を延々とやると視聴者が ヒクということがあるだろう。それは視聴率として現れる。
これはしかたのないことなのだろう。視聴者には、そもそもインターネットに 無縁な人がある程度の割合で存在する。異常プリオンの話とか、有害物質の話 とか、○○が健康にいいとかの話であれば、人々の生活に関わるのだから視聴 者の全員が対象となるのと違ってだ。だが、5年前ならいざしらず、今はどう か。うちの両親(極度の機械音痴)でさえ常時接続でWindowsでいろいろやっ ているらしいし、もうそろそろインターネットと無縁な人の割合は、半分は割っ ているはずではないだろうか。
「アドレスバー」は本当にテレビで使えない言葉なのか? フィッシング詐欺 の話を出すのに、アドレスバーを避けて通ってどうるすのだ? 「アドレスバー」 と言ってヒクような視聴者は、まさにアドレスバーを普段見ておらずフィッシ ング詐欺の被害に遭いかねない人たちなのだから、その人たちに注意を促すに あたって「アドレスバー」という言葉を使わないというのでは、いったいどう しろというのか。
TBSの報道特集*2では、自衛策の紹介は 皆無に等しかった。キャスターの最後の締めくくりの言葉で、「個人情報を求 めているサイトあるいはメールに対しては、送信元に電話で再度確認するなど、 疑ってかかるといいますか、警戒心を持つということしか自衛策はないのかも しれません」と言っただけだった。後半では、スパイウェアによる手口が最近 は出始めている話を紹介するにあたって、トロイの木馬の実演をして見せてい たが、例によって「ハッカーならなんでもできてしまう」的な扱いになってお り、単に消費者たちに恐怖心を植えつけるだけに終わっている。本来ならば、 トロイに感染しないためには、メールの添付ファイルを開かないようにすると か、パッチをあてるようにするとか、そういうことを紹介するべきところだが、 それは全くなしだ。 これでは、視聴者は「フィッシング詐欺 → どうしようもない → 怖い怖い」 という感想で終わってしまう。
クローズアップ現代はどうだったかというと、こちらの番組は、外国で本当に 深刻な事態になっているのだという実態イメージを伝えることに力点が置かれ ていた。カード番号を盗られるとどうなるかという話、SSN(社会保障番号) を盗られてローンを組まれた話などが紹介されていた。個人情報が国際的に 売買されている実態も紹介され、騙されることがどう深刻なのかを伝えていた。 また、偽サイトが侵入された個人のパソコンに作られている話や、日本の法律 では情報を盗み取った段階では取り締まれない話、ウイルスと違って機械的に 防ぐのが難しいという話が伝えられていた。しかし、消費者の自衛手段につい ての紹介はイマイチだった。挙げられていた自衛策は、
というもので、これは実質的に、自衛手段は存在しないと言っているようなも のだ。
クローズアップ現代では、アドレスバーに偽URLの枠なしウィンドウを被せる手口を紹介して、 メモ帳のウィンドウを上に載せることで、「ズラ」が浮き上がって見えるという、 動画像ならではの直感的でなかなかうまい説明をしていたが、 ここで言うべきことは、Windows XP に Service Pack 2を入れれば、この手口 は使えなくなるということだ。
たしかに完全な策はない。いくらパッチを適用していても、未知の脆弱性を突 いた攻撃が突然やってくる可能性は否定できないのだから、「こうすれば安全」 という説明はできない。だからといって、何も説明しないというのはいかがな ものか。
英語圏では、フィッシングの手口は徐々に進化してきたことから、おそらく、 人々も徐々に自衛策の基本を理解してきているのではないかと予想する。 つまり、最初の簡単な手口(http://202.xxx.xxx.xxx/ といったアドレス)が 横行した段階で、「アドレスバーをまず確認する」というのが常識となっただ ろうし、アドレスバーを隠したポップアップウィンドウに入力させる手口が横 行し始めると、「アドレスバーのないウィンドウにはパスワードを入れない」 という常識が浸透していっただろう。英語圏ではそうやって現在があるわけだ が、日本では、そうした段階をすっ飛ばしていきなり高度な手口で、フィッシ ング詐欺が流行るおそれがある。基本的な自衛方法を身につけることを放棄し て、ただ大騒ぎするということになりかねない。
大事なことは、本来あるべき姿と現実的な対応とを分けて示すことだ。そうし ないと、何が誰の責任なのかがわからなくなってしまう。つまり、アドレスバー を確認しないのは、ユーザの責任であるし、アドレスバーが偽装されてしまう のは、ブラウザのメーカーに責任があるか、もしくは本物サイトに責任がある (クロスサイトスクリプティング脆弱性)というように区別する必要がある。 アドレスバー偽装に使われるようなブラウザの仕組みや、気をつけていてもト ロイに感染してしまうような原因箇所は、セキュリティ脆弱性として認識され て修正されてきているのだから、そのことを伝えて、あとは消費者にパッチを あてるよう呼びかける。それでもなお、騙されてしまうことが起き得るので…… と、話を分けるべきだろう。
ちなみに、木曜日のやじうまプラスでは、3分50秒という短い時間の中で、き ちんと、アドレスバーの話と、鍵マークの話も扱ってくださった。よかった*3。
しかし、アドレスバー偽装の話はできていないし、トロイを使った hosts 書き換えなどの話もできていない。
こんなので対策になると言ってしまうと、ご批判もあるだろう。錠前アイコン の存在を確認せよという話は、現時点では比較的有効だと思うので、チェック ポイントとして出してもらったが、本当は、サーバ証明書の中身まで見ないと いけない(SSLを提供しているどこかのレンタルサーバが偽サイトに使われる 可能性もある)し、本物サイトにクロスサイトスクリプティング脆弱性がある 場合には、サーバ証明書を確認しても見破れないという話もしておく必要があっ た。それは時間的に無理だった。
もっとも、まだ大規模な被害が確認されていない現段階で、これだけ注意を呼 びかける報道がなされているのは、よいことだ。今後、残念なことに日本でも 欧米並みに被害が深刻になるような事態がおとずれると、自衛策の一つ一つを 紹介する番組が出てくるのかもしれない……が、どうだろうか*4。
月曜の昼のNHKニュースで、フィッシング詐欺が原因とみられるクレジットカー ド不正使用被害が、UFJカードの7人の会員について、昨年の10月〜11月に出て いたことが確認されたと報道されていた。
2005年2月7日、NHKのニュース報道で、当社のお客さまが「フィッシング詐欺の被害を受けた」と報じられました。本件につきまして、以下のとおりご説明いたします。
・昨年9月から10月にかけて、ルーマニアなどにおきまして当社のクレジット カードを偽造したカードの使用が発覚いたしました。調査しましたところ、33 名のお客さまのクレジットカードが偽造され、そのうち8名のクレジットカー ドにより現金を借り入れる「キャッシング」が不正に利用されていることが判 明いたしました。被害総額は約150万円です。
(略)
ここで注意すべきことは、UFJカードの偽サイトが作られたという話ではない という点だ。VISAジャパンとか、ヤフーとか、その他のサイトを装ったフィッ シング詐欺で、クレジットカードの情報を入力してしまった人たちの被害なの だろう。
ということは当然ながら、被害者はUFJカードの会員に限られるはずもないわ けで、他のクレジットカード会社にも同様に被害が出ているはずだろう。
10月の話が今ごろになって表に出てきたわけだが、他のカード会社の被害状況 とかはきちんと把握されているのだろうか。警察庁や経済産業省のフィッシン グ対策連絡会のようなところではきちんと(秘密裏に?)情報が共有されてい るのだろうか。
*1 当時起きた省庁ホームページ改竄事件で、ファイアウォール を入れていなかったからだとか、パスワードがどうのとか、そういう話に終始 していて、脆弱性にパッチをあてるという話が表に出てこなかった。ソフトウェ アは入れたら入れっぱなし。メンテナンスコスト(脆弱性修正としての)がか かるということが認識されていなかった。この認識はソフトウェアベンダ側も 似たようなもので、パッチを出していても重要ユーザにさえろくに伝えていな い(銀行がユーザの事例など)事例があったし、パソコンメーカーがWindows の脆弱性の存在について、知らぬ存ぜぬで通したという状況があった。エンド ユーザが欠陥の存在を認識しない限り、そうした状況は変わず、事故や事件が 置きつつも原因不明のまま被害者が泣き寝入りするという未来が来てしまうと、 そう感じていた。
*2 私は何も協力していないが。
*3 ありがとうございます。
*4 多チャ ンネル化がもっと進んで、専門チャンネルとかができたらいいのに。