フィッシング詐欺でだまされるよりも、フィッシング詐欺に引っかからない方法を執筆する方がずっとよい。本記事では、まんまと成功したフィッシング詐欺を調査、分析した文書に記載されている驚くべき内容を紹介する。
2009年の春、筆者は何者かにフィッシング詐欺を仕掛けられた。IT分野のセキュリティに関する記事を執筆する人間は、こういったことに詳しいと思っている方がいるかもしれない。しかし、筆者はそうではなかった。当時はさまざまな思いが胸をよぎったものの、最も大きかったのはきまりの悪さであった。というのもその数日前に、筆者は「Phishing: Is that Web site real or not?」(フィッシング詐欺:そのウェブサイトは本物?それとも偽物?)という記事を執筆していたのである。
「自分のふがいなさ」に落ち込んだ一方で筆者は、ありきたりな対処方法だが、いつまでも落ち込んでいるのではなく、何らかの教訓となるものを残そうと決めたのだった。さらに、筆者が遭遇したようなIT詐欺に引っかからないようにするための方法を専門家に尋ね、記事にまとめてみようと思ったわけだ。
そのためにはまず、John Brozycki氏を紹介しておきたい。当時の筆者が同氏のことを知っていたら、フィッシング詐欺の餌食にならずとも済んだはずだ。同氏はフィッシングのさまざまな側面について詳しく理解しているとともに、数多くのGlobal Information Assurance Certification(GIAC)認定資格と長年の経験を有しており、自らの知識を分かち合ってくれる人物である。
皮肉にも、筆者がフィッシング詐欺の被害に遭っていた頃、同氏は「Inside a Phish」(フィッシング詐欺の中身)という、ある詐欺師の行為と、それが警察によって阻止されるまでの経緯を描いた文書を執筆していた。この文書は、筆者が今までに読んだことのあるフィッシング詐欺に関する文献のなかで、最も素晴らしいものの1つである。
この文書の価値を高めているのは、同氏がフィッシング詐欺の実行方法に関する詳細を、詐欺師と被害者双方の情報を使って描き出している点にある。
私はフィッシング詐欺が行われるさまを第3者の立場から「客観的に観察」してみたいと常々考えていた。もちろん、1件の銀行強盗の事例を見たからといって、その他すべての銀行強盗の事例について理解できたことにはならないのと同様に、1件のフィッシング詐欺の事例を見るだけではすべてのフィッシング詐欺を理解するのは無理だと分かっていた。とは言うものの、これらの電子メールには多くの情報が含まれているだろうとも思ったため、私はすぐさまそのデータを調査したいと申し入れた。
しかし実際のところ、この事件の証拠資料の閲覧許可がBrozycki氏に与えられるまでには何年もの歳月がかかった。
捜査が終了するまでは事件簿の閲覧を許可できないと告げられていた。それから数年経ち、定期的に要求していた私の元にようやく前向きな回答が返ってきた。そして、名前やIPアドレス、組織名といった詳細を明らかにしないという条件で証拠資料の閲覧を許されたのだった。私はそのフィッシング詐欺の手法と仕組みを調査したかったのである。
またBrozycki氏は、事件に利用された金融機関に目を向けてみるのも重要であると説いている。
私は証拠資料の分析を始めた段階で、このフィッシング詐欺に利用された金融機関のことについても目を向け始めた。フィッシング詐欺が行われていた時、金融機関は何をしており、どういった対応をとったのだろうか?どういった対応が効果的であったのか、またさらに効果的にするためにできたことはなかっただろうか?