2004年08月07日
■ 事業者が今すぐできるフィッシング詐欺対策
ここのところフィッシング(phishing)詐欺に注意を呼びかけるニュース記事や、メールマガジンが多くなってきた。Yahoo! BBのニュースレターでも、「フィッシング詐欺の対策を大紹介!」というサブジェクトで、「ヤフーBBマガジンクリップ ―― フィッシング詐欺に気をつけろ!」というコンテンツを流しているようだ。
国内で大流行する前にこうして消費者に注意を呼びかけることはよいことだ。だが、消費者の意識改革を促すよりも前に、事業者側で今すぐ可能な対策がある。それは昨年の6月14日の日記「HTMLメールマガジンのもうひとつの危険性」に書いていた、以下の話である。
偽メールの危険性を重視して、メールマガジンに電子署名するようにしてはどうだろうか。認証局方式の署名付きメールは今ひとつ普及していないが、これは、署名に必要な証明書が有料であるため、個人ではあまりコストに見合っていないためと思われる。メールマガジンは事業者が発行するのであるから、https: 用のサーバ証明書を購入するのと同じように、メールマガジンのFrom:アドレスに対応するメール署名用証明書を購入して使用してはどうだろうか。信頼性に重きをおく事業者であるとアピールできるばかりでなく、これによって署名メールの一般への普及も促進されるかもしれない。なお、プレインテキストメールにも署名した方がよいだろう。
当時は「phishing」という言葉を耳にすることがなかった。手口自体は古くから細々と実在していたと思われるが、英米を中心に大流行し始めたのは、2003年夏ごろからのようだ。今年3月のIT Proの記事「phishing――だましのメールに釣られるな」によると、米国FTCが注意喚起したのが2003年7月で、Anti-Phishing Working Groupが設立されたのもそのころだそうだ。同グループのアーカイブには、2003年9月21日の手口から事例が掲載されている。「The Word Spy」のphishingのページによると、単語の初出は1996年ごろに既に見られるという。
IT Proの記事では、対策として、消費者が偽メールに騙されないよう心構えを持つことと、事業者側がアドレスバーを隠すようなことをしないよう呼びかけている。しかし、メールに電子署名することについては触れられていない。
メールに電子署名する方法には、PGPによる方法とS/MIMEによる方法がある。PGPによる方法では、事前に相手の公開鍵を安全に入手して登録しておく必要があるので、一般人には敷居が高い。phishing詐欺に騙されるような人たちにPGPを正しく使えるとは考えにくい。その一方、S/MIMEならば、受信者側は何も準備なしに署名を検証することができるので、phishing詐欺対策として使えるだろう。
S/MIMEは、phishing詐欺に騙されそうな人達が多く使用していると思われるOutlook Expressではかなり昔から対応している。最近では、Becky!もVer2.11からS/MIMEに対応したし、ジャストシステムのShuriken Pro 3は、日本ベリサインと提携して、メール署名/暗号化用証明書付きのセットでの販売を今年6月から開始している。主な日本語対応メーラーのS/MIME対応状況については、以下のサイトが参考になる。
Outlook Expressの場合、S/MIMEで署名されたメールを受信すると、以下の図の矢印の部分のように、正しく署名されたメールであることを示すマークが表示される。
信頼できる企業が発行する多くのメールマガジンがこのように電子署名された形で発信されるようになれば、消費者が常にこの署名を気にかけるようになることで、署名されていないメールマガジンはphishing詐欺の可能性があると疑って警戒することができるようになるだろう。
ただし、「正しく署名された」とはどういう意味なのかに注意する必要がある。現在のところ、VeriSign社が提供している電子メール署名用の証明書は、「Class 1 Digital ID」と呼ばれるもので、Class 1とはどういう意味かというと、日本ベリサインの解説によると、Class 1とは「電子メールアドレスのみを検証(メールでの証明書発行通知によって認証)」というものだそうだ。つまり、そのメールアドレス宛のメールを確かに受信できたという事実でもって、そのメールアドレスの利用権者本人であるとみなすというものだ*1。それに対して、Class 3とは、認証局へ出頭するなどして身分証明書を提示して本人確認がなされるものだ。SSLのサーバ証明書はClass 3である。
上のOutlook Expressの図で、マークをクリックすると以下のウィンドウが現れる。
「デジタル署名者」欄が、この署名が「takagi@mail1.accsnet.ne.jp」というアドレスの利用権者によってなされたものであることを示している。
メールマガジンが電子署名されているとき、受信者は、この「デジタル署名」欄が、自分が知っている(信頼している)メールマガジンのメールアドレスになっているかどうかを確認することになる。
つまり、残念ながらこの方法では、メールアドレスを覚えておかないと、本物らしいと確認することはできない。ただ、メールマガジンの署名者アドレスのドメイン名が、信頼できる事業者のドメインになっている*2なら、たいていの人は確認できるだろう。
上の図で「証明書の表示」ボタンを押し、「署名の証明書」ボタンを押すと以下のウィンドウが現れる*3。
「発行先」に書かれてるものは、メールアドレスの名前部分である。たとえば、ソニースタイルの「Style Memberメール」ならば、From: は「Sony Style <info@mail.jp.sonystyle.com>」となっているので、「デジタル署名者」が「info@mail.jp.sonystyle.com」で、「発行先」は「Sony Style」となる。
このことからわかるように、「発行先」には任意の名前を使えてしまうので、その部分は信頼性の確認に使えない。もし、メールの電子署名用にClass 3の証明書が使えるならば、ここに「Sony Marketing (Japan) Inc.」という表示ができる*4のではないか。
このことについて、NETWORLD+INTEROP 2004 TOKYOの日本ベリサインの展示の場で、同社の営業の方に少しうかがった。「phishing詐欺の流行が懸念されている今だからこそ、メールマガジンを発行する事業者に、メールに電子署名することを勧めるのがよいのではないか」と言ってみたところ、「メールにはClass 1のサービスしかしていない」というお返事だった。事業者の信頼確認には、Class 3でないと意味がないというお考えがあったのかもしれない。ぜひともメール用のClass 3 Digital ID発行サービスを始めてもらいたいものだ。
ところで、S/MIMEは今ひとつ利用が普及していない。その原因は有料だからだろう。PGPは無料で使うことができるためいくらか普及しているようではあるが、使いこなしはそう簡単ではなく、IT強者向けのものだと言わざるをえない*5。
しかし、有料だといっても、1年あたり2,500円〜3,000円程度が相場のようだ。米国VeriSignから直接購入すれば、14.95 USドルで、クレジットカードで即座に決済できる。個人が、メールを暗号化したり署名したりすることに、月額200円ほどを支払ってまでする価値を感じていないのが、普及しない原因なのかもしれない。
だが、事業者がメールマガジンを信頼できるものとアピールするのに、年間3,000円というのは激安だ。証明書の価格は、メールマガジン発行コストのうち誤差にしかならないはずだ。
「フィッシング詐欺に気をつけろ!」とか言ってる暇があるなら、なぜ今すぐメールマガジンに電子署名しないのか。
ひとつ考えられるのは、メールマガジンの発行が、メールマガジン業者に委託されていて、メールマガジン業者がそのようなサービスに対応していないため、始められないという可能性がある。
事業者向けのメールマガジン配信サービス業者は、昨年、世論をHTMLメールを受け入れるよう仕向けるのに必死だったが、そんなことをやっているより、「フィッシング詐欺対策に効果的!」などと宣伝して、電子署名付きメールマガジンサービスを始めたらよかろう。一通あたりいくらかの料金を上乗せできるだろう。HTMLメールマガジンが反社会的だったのに対して、署名サービスは儲かる上に社会貢献になるではないか。
Yahoo! BBのニュースレターにしろ、IT Proのニュース配信にしろ、phishing詐欺に注意を呼びかけるくらいなら、率先してメールマガジンに電子署名をしてみてはどうだろうか。
ただ、メーラーソフトがもう少し、署名の証明書の発行先をわかりやすく表示するよう、ユーザインターフェイスを改善しないと、phishing詐欺に遭うような人たちには本物確認が難しすぎるかもしれない。
最初のうちは、署名があれば本物と信じられる状況となるだろうが、しだいに偽メールも署名をするようになる(本物アドレスに対する偽署名はできないが)だろうから、そういう状況が到来したら、そのときは「デジタル署名者」を容易に確認できるようになっている必要がある。
Becky!のS/MIMEのユーザインターフェイスも、IT強者向け*6で、改善の余地がある。Shuriken Proはどうなっているだろうか。
■ 「フィッシング」に替わる適切な日本語は何か
国家公安委員会の7月の定例委員会で委員からこのような発言があったようだ。
大森委員より、「『フィッシング』という新しい犯罪形態が生まれつつあるというのは憂慮すべきことであるが、『フィッシング』という名称は、少し聞いただけでは、一体どのような犯罪なのかぴんと来ない。したがって、例えば、『オレオレ詐欺』ように、一般の方にもよく分かるような名称に翻訳するなどして、注意喚起を促していく必要があると思う。また、(略)」旨、発言があった。
そのとおりだと思う。専門家向けではなく消費者向けの用語の場合は、英語のカタカナ輸入ではよろしくない*7。しかも、phishingはカタカナにしてしまうと魚釣りと区別がつかなくなってしまう。手口が大流行してからならば用語は自然と定着するだろうが、流行前に注意喚起するには、言葉から手口をある程度想像できる必要がある。
かといって、響きのよい言葉がなかなか思いつかない。思いつくのは以下のような平凡なものばかり。
- 偽サイト詐欺
- オレオレサイト詐欺
- サイバー釣り師
- 個人情報騙し取り
- うそはうそであると見抜ける人でないと(インターネットを使うのは)難しいよ詐欺
- インターネットの方から来ました詐欺
ところで、phishing以外にも、4月24日の日記でふれた、アクセスしただけで契約成立とみなして高額請求する手口についても、ひとことで表現する言葉がまだ整理されていないのではないか。仙台市消費生活センターが「ワン切りメール」などという変な呼び方をしていたが、その後どうなっただろうか。
国民生活センターでは以下のように表現しているが、いまひとつ特徴を表しきれていない。
この手口の最大の特徴は、アクセスしただけで誰からのアクセスか(電話番号など)が相手に特定されているにもかかわらず、被害者は自分が特定されているとはつゆ知らず、個人情報さえ入力しなければ請求されることはあるまいと信じてボタンを押すところにある。一言で表現するのは難しい。
*1 したがって、メールを盗み取られる状況では、攻撃者がなりすまして証明書を注文し、受け取ってしまうリスクはある。
*2 かつ、そのドメイン名で他人のメールアドレスを利用できるようなサービスを提供していないならば。たとえば、Yahoo! Japanの場合、@yahoo.co.jp というアドレスを任意の人に利用させているので、ドメイン名だけでは信用できない。@mail.yahoo.co.jp ならばYahoo! Japanの公式メールらしい。
*3 ウィンドウタイトルの「デジタルIDのプロパティを署名中」というのはマヌケな誤訳だ。あいかわらずマイクロソフトの日本語化作業は素人以下のままだ。
*4 ただし、受信者が、これがClass 3であることを確認しないと意味がないが。
*5 IPAの脆弱性情報届出窓口では、PGPの利用を求めているが、S/MIMEの利用も可能にしないのはなぜ?
*6 署名されていることを示すマークはなく、「smime.p7s」という添付ファイルがあることを確認して、メニューから「S/MIME検証」を選ばないと本物か確認されない。
*7 専門家向けの解説には整合性のため両者を併記するのがよい。
- https://www.bing.com ×5 (2020-08-02)
- https://www.google.co.jp ×5 (2015-09-24)
- はてなダイアリー [HiromitsuTakagi] ×8 : 7, 1 (2006-11-20)
- はてなダイアリー [HiromitsuTakagi 20040807] ×176 (2006-02-16)
- はてなダイアリー [HiromitsuTakagi 20040725] ×112 (2006-02-07)
- キーワード不明 ×32 / S/MIME対応メーラー ×18 / フィッシング詐欺の対策 ×10 / S/MIME対応 メーラー ×9 / pgp s/mime ×8 / S/MIME PGP ×8 / S/MIME 対応状況 ×7 / becky s/mime ×6 / うそはうそであると見抜ける人でないと ×5 / 高木浩光 メーラー ×5 / S/MIME 対応メーラー ×5 / s/mime 普及 ×5 / PGP S/MIME ×5 / 事業者が今すぐできるフィッシング詐欺対策 ×4 / smime.p7sとは ×4 / S/MIME対応メーラ ×4 / -hiromitsu.jp/diary/ Phishing ×3 / pgp S/MIME ×3 / S/MIME 普及 ×3 / -hiromitsu.jp フィッシング ×3 / s/mime 普及しない ×3 / 電子署名 対応メーラー ×3 / s/mime pgp ×3 / フィッシング -hiromitsu.jp ×3 / メール デジタル署名 becky! PGP ×3 / S/MIME 対応 メーラー ×3 / 電子署名 -hiromitsu.jp ×3 / -hiromitsu.jp 高木浩光 フィッシング ×3 / shuriken pro ×3 / 電子証明 Class3とは ×3 / PGP S/MIME ×3 / smime メーラー ×2 / すぐできる詐欺 ×2 / Becky! S/MIME ×2 / アドレスバーを隠す ×2 / "HTMLメール" -hiromitsu.jp ×2 / PGP 電子署名 ×2 / PGP 普及しない ×2 / メール 署名 ひとこと ×2 / smime.p7s becky ×2 / Shuriken フィッシング ×2 / デジタル署名 p7s ×2 / 高木浩光 class-1 -hiromitsu.jp ×2 / S/MIME 普及していない ×2 / PGP s/mime ×2 / 激安 認証局 ×2 / S/MIME OUTLOOK ×2 / 電子署名 普及しない ×2 / PGP S/MIME ×2 / 他人のメールアドレスの利用 ×2 / フィッシング ×2 / OutlookExpress S/MIME 無料で使う ×2 / smime 対応 メーラー ×2 / なりすまし詐欺 対策 電子証明書 ×2 / フィッシング詐欺対策委員会 ×2 / p7s 意味 ×2 / s/mime 対応 メーラー ×2 / SMIME対応 メーラー ×2 / sony 高木 ×2 / メーラー SMIME ×2 / shuriken pro PGP ×2 / yahoo mail フィッシング ×2 / メルマガ詐欺 ×2 / PGP S/MIME ×2 / 個人事業主にメール用デジタルID証明書購入 ×2 / s-mime -hiromitsu.jp ×2 / S/MIME メールマガジン ×2 / 事業者 詐欺 ×2 / smime対応メーラ ×2 / 電子署名付き メール 普及していない ×2 / SMIME ×2 / メーラー S/MIME 対応 ×2 / 電子証明書 S-MIME メール暗号化 ×2 / うそはうそであると ×2 / BECKY デジタル署名 ×2 / デジタルID Yahooメール ×2 / PGP veri-sign メール 価格 ×2 / 世論をHTMLメールを受け入れるよう仕向けるのに必死だった ×2 / URLを隠す フィッシング ×2 / 電子署名 契約 詐欺 ×2